漏洞风险提示（20240628)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 GitLab 数据泄露漏洞（CVE-2024-6323）
一、漏洞描述：     
       
        GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。GitLab EE 存在安全漏洞。攻击者利用该漏洞可以泄露公共项目中的私有存储库的内容。
二、风险等级：
        高危
三、影响范围：
        GitLab EE
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://gitlab.com/

---

2 Magarsus Consultancy SSO SQL注入漏洞（CVE-2024-4228）
一、漏洞描述：     
       
        Magarsus Consultancy SSO是Magarsus Consultancy公司的一款单点登录应用程序。Magarsus Consultancy SSO (Single Sign On) 1.0 到 1.1版本存在SQL注入漏洞，该漏洞源于SQL 命令中使用的特殊元素的不当中和，凭据保护不足，向未经授权的行为者泄露敏感信息。
二、风险等级：
        高危
三、影响范围：
        Magarsus Consultancy SSO (Single Sign On) 1.0 - 1.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.magarsus.com.tr/single-sign-on

---

3 Next4Biz 代码注入漏洞（CVE-2024-5683）
一、漏洞描述：     
       
        Next4Biz是Next4Biz公司的一个营销和销售管理软件。Next4Biz 6.6.4.4版本至6.6.4.5之前版本存在代码注入漏洞，该漏洞源于代码生成控制不当。
二、风险等级：
        高危
三、影响范围：
        6.6.4.4 <= Next4Biz < 6.6.4.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.next4biz.com/tr/is-surecleri-yonetimi/

---

4 Deep Java Library 安全漏洞（CVE-2024-37902）
一、漏洞描述：     
       
        Deep Java Library是Deep Java Library开源的一个开源、高级、与引擎无关的深度学习 Java 框架。Deep Java Library 0.1.0版本至0.27.0之前版本存在安全漏洞，该漏洞源于不会阻止绝对路径存档工件将存档文件直接插入系统，从而覆盖系统文件。
二、风险等级：
        高危
三、影响范围：
        0.1.0 <= Deep Java Library  < 0.27.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/deepjavalibrary/djl/releases/tag/v0.27.0