漏洞风险提示（20240711)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SuiteCRM SQL注入漏洞(CVE-2024-36412)
一、漏洞描述：     
       
        SuiteCRM是一款屡获殊荣的企业级开源客户关系管理（CRM）系统，它具有强大的功能和高度的可定制性，且完全免费。SuiteCRM存在SQL注入漏洞，未经身份验证的攻击者可以通过该漏洞拼接执行SQL注入语句，从而获取数据库敏感信息。
二、风险等级：
        高危
三、影响范围：
        SuiteCRM < 8.6.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://suitecrm.com

---

2 Deep Sea Electronics DSE855 身份认证绕过漏洞(CVE-2024-5947)
一、漏洞描述：     
       
        DSE855是一款将DSE控制器的USB端口转换为以夜网端口的设备，内置网络服务器，支持通过内部网络和互联网进行使用。Deep Sea Electronics DSE855 配置备份缺少身份验证信息泄露漏洞。此漏洞允许网络相邻的攻击者泄露有关受影响的 Deep Sea Electronics DSE855 设备安装的敏感信息。利用此漏洞不需要身份验证。基于 Web 的 UI 中存在特定缺陷。该问题是由于在允许访问功能之前缺少身份验证所致。攻击者可利用此漏洞泄露存储的凭据，从而导致进一步入侵。
二、风险等级：
        高危
三、影响范围：
        DSE855
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.deepseaelectronics.c ... iew-displays/dse855

---

3 Avaya IP Office 远程命令执行漏洞（CVE-2024-4197）
一、漏洞描述：     
       
        Avaya IP Office是美国亚美亚（Avaya）公司的一套小型商务电话系统。Avaya IP Office 11.1.3.1 之前版本存在安全漏洞，该漏洞源于允许通过 One-X 组件执行远程命令或代码。
二、风险等级：
        高危
三、影响范围：
        Avaya IP Office < 11.1.3.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://download.avaya.com/css/public/documents/101090768

---

4 AG Grid 远程代码执行漏洞（CVE-2024-38996）
一、漏洞描述：     
       
        AG Grid是AG Grid开源的一个功能齐全、高度可定制的 JavaScript 数据网格。AG Grid v31.3.2版本存在安全漏洞，该漏洞源于通过mergeDeep函数包含原型污染，允许攻击者通过注入任意属性来执行任意代码或导致拒绝服务(DoS)。
二、风险等级：
        高危
三、影响范围：
        AG Grid v31.3.2
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ag-grid/ag-grid/releases/tag/v32.0.0