漏洞风险提示（20240717)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 多款Zoom产品权限升级漏洞（CVE-2024-27240）
一、漏洞描述：     
       
        Zoom Rooms和Zoom Workplace都是美国Zoom公司的产品。Zoom Rooms是一个基于软件的会议系统。允许在固定终端上进行网络会议的系统，类似于传统的视频会议系统。Zoom Workplace是一个桌面应用软件。多款Zoom产品存在安全漏洞，该漏洞源于安装程序中存在不正确的输入验证，允许攻击者通过本地访问进行权限升级。受影响产品及版本如下：Zoom Workplace Desktop App 6.0.0之前版本、Zoom Workplace VDI Plug-in 5.17.13之前版本、Zoom Rooms App 6.0.0之前版本。
二、风险等级：
        高危
三、影响范围：
        Zoom Workplace Desktop App < 6.0.0
        Zoom Workplace VDI Plug-in < 5.17.13
        Zoom Rooms App < 6.0.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://zoom.us/download

---

2 Plate 跨站脚本漏洞（CVE-2024-40631）
一、漏洞描述：     
       
        Plate是Ziad Beyens个人开发者的一个插件系统，可以更容易地构建功能齐全的编辑器。Plate存在安全漏洞，该漏洞源于当编辑器使用 MediaEmbedElement 组件，并通过 useMediaState 钩子传递自定义的 urlParsers 时，如果自定义解析器允许嵌入 javascript:、data: 或 vbscript: 协议的 URL，就可以受到跨站脚本攻击。
二、风险等级：
        高危
三、影响范围：
        Plate
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/udecode/plate ... e%2Fplate%4036.0.11

---

3 setuptools 代码注入漏洞（CVE-2024-6345）
一、漏洞描述：     
       
        setuptools是PyPI开源的一个 Python 库。setuptools 69.1.1及之前版本存在代码注入漏洞，该漏洞源于允许通过下载功能执行远程代码，容易受到代码注入攻击。
二、风险等级：
        高危
三、影响范围：
        setuptools < 69.1.1  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/pypa/setuptools/releases/tag/v70.3.0

---

4 xrdp 配置参数漏洞（CVE-2024-39917）
一、漏洞描述：     
       
        xrdp是neutrinolabs开源的一款开源远程桌面协议服务器。xrdp 0.10.0之前版本存在安全漏洞，该漏洞源于最大登录尝试次数的配置参数限制无效，允许攻击者进行无限次登录尝试。
二、风险等级：
        高危
三、影响范围：
        xrdp < 0.10.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/neutrinolabs/xrdp/releases/tag/v0.10.0