漏洞风险提示（20240620)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 VMware vCenter Server堆溢出漏洞（CVE-2024-37079）
一、漏洞描述：     
       
        vCenter Server是VMware vSphere虚拟化架构的核心管理组件，为ESXI主机和虚拟机提供管理服务，通过vCenter Server可以集中管理多台ESXI主机和虚拟机。由于vCenter Server在DCE/RPC（分布式计算环境/远程过程调用）协议的实施过程中存在多个堆溢出漏洞，具有vCenter Server 网络访问权限的远程威胁者可发送特制网络数据包来触发这些漏洞，成功利用可能导致远程代码执行。
二、风险等级：
        高危
三、影响范围：
        vCenter Server 8.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.broadcom.com/web ... yAdvisories/0/24453

---

2 Magento Open Source XXE漏洞（CVE-2024-34102）
一、漏洞描述：     
       
        Magento Open Source是Adobe公司的一套开源的PHP电子商务系统，该系统提供权限管理、搜索引擎和支付网关等功能。Adobe Commerce和Magento Open Sourc多个受影响版本中存在XML外部实体引用限制不当，未经身份验证的威胁者可发送引用外部实体的恶意设计的 XML文档来利用该漏洞，成功利用可能导致任意代码执行。
二、风险等级：
        高危
三、影响范围：
        Adobe Commerce > 2.4.7  
        Magento Open Source > 2.4.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/magento/magento2/releases

---

3 D-Link E Series 安全漏洞(CVE-2024-6045)
一、漏洞描述：     
       
        D-Link E Series是中国友讯（D-Link）公司的一系列无线路由器。D-Link E Series存在安全漏洞。攻击者利用该漏洞可以迫使设备通过访问特定URL来启用Telnet服务，并使用获得的管理员凭证来登录。
二、风险等级：
        高危
三、影响范围：
        D-Link E Series
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://supportannouncement.us.d ... .aspx?name=SAP10398

---

4 ws 安全漏洞（CVE-2024-37890）
一、漏洞描述：     
       
        ws是WebSockets开源的一个 Node.js WebSocket 库。ws存在安全漏洞，该漏洞源于如果请求的标头数量超过阈值，可能导致服务器崩溃。
二、风险等级：
        高危
三、影响范围：
        ws
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/websockets/ws ... GHSA-3h5v-q93c-6h6q