漏洞风险提示（20240701)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Argo CD 未授权访问漏洞(CVE-2024-37152)
一、漏洞描述：     
       
        Argo CD是一个开源的、声明式的、持续部署工具，用于管理Kubernetes应用程序。它使用Git作为其配置存储库，允许开发人员和运维人员在Git中定义应用程序的期望状态，并自动将实际状态同步到期望状态。Argo CD存在未授权访问漏洞，未经身份验证的攻击者可以通过该漏洞访问敏感信息。
二、风险等级：
        高危
三、影响范围：
        Argo CD
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://argoproj.github.io/cd

---

2 Elektraweb 访问控制不当漏洞（CVE-2024-0949）
一、漏洞描述：     
       
        Elektraweb是土耳其Elektraweb公司的一个基于云托管的网络酒店程序。Elektraweb v17.0.68之前版本存在安全漏洞，该漏洞源于系统存在访问控制不当、缺少授权、授权不正确、关键资源的权限分配不正确、缺少身份验证、身份验证薄弱、对预期端点的通信通道限制不当等安全问题。
二、风险等级：
        高危
三、影响范围：
        Elektraweb < v17.0.68
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.elektraweb.com/

---

3 Microsoft Power Platform 安全漏洞（CVE-2024-35260）
一、漏洞描述：     
       
        Microsoft Power Platform是美国微软（Microsoft）公司的一组低代码工具。Microsoft Power Platform 存在安全漏洞。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。
二、风险等级：
        高危
三、影响范围：
        Microsoft Power Platform
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://msrc.microsoft.com/updat ... lity/CVE-2024-35260

---

4 Talya Informatics Travel APPS 错误配置漏洞（CVE-2024-1107）
一、漏洞描述：     
       
        Talya Informatics Travel APPS是土耳其Talya Informatics公司的一个旅游软件。Talya Informatics Travel APPS v17.0.68之前版本存在安全漏洞，该漏洞源于允许攻击者利用错误配置的访问控制绕过用户控制密钥授权。
二、风险等级：
        高危
三、影响范围：
        Talya Informatics Travel APPS < v17.0.68
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.cntraveler.com/story/best-travel-apps