找回密码
 注册创意安天

漏洞风险提示(20240717)

[复制链接]
发表于 2024-7-17 09:31 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 多款Zoom产品权限升级漏洞(CVE-2024-27240)
一、漏洞描述:     
        zoom.jpg
        Zoom Rooms和Zoom Workplace都是美国Zoom公司的产品。Zoom Rooms是一个基于软件的会议系统。允许在固定终端上进行网络会议的系统,类似于传统的视频会议系统。Zoom Workplace是一个桌面应用软件。多款Zoom产品存在安全漏洞,该漏洞源于安装程序中存在不正确的输入验证,允许攻击者通过本地访问进行权限升级。受影响产品及版本如下:Zoom Workplace Desktop App 6.0.0之前版本、Zoom Workplace VDI Plug-in 5.17.13之前版本、Zoom Rooms App 6.0.0之前版本。
二、风险等级:
        高危
三、影响范围:
        Zoom Workplace Desktop App < 6.0.0
        Zoom Workplace VDI Plug-in < 5.17.13
        Zoom Rooms App < 6.0.0

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://zoom.us/download


2 Plate 跨站脚本漏洞(CVE-2024-40631)
一、漏洞描述:     
       
        Plate是Ziad Beyens个人开发者的一个插件系统,可以更容易地构建功能齐全的编辑器。Plate存在安全漏洞,该漏洞源于当编辑器使用 MediaEmbedElement 组件,并通过 useMediaState 钩子传递自定义的 urlParsers 时,如果自定义解析器允许嵌入 javascript:、data: 或 vbscript: 协议的 URL,就可以受到跨站脚本攻击。
二、风险等级:
        高危
三、影响范围:
        Plate
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/udecode/plate ... e%2Fplate%4036.0.11


3 setuptools 代码注入漏洞(CVE-2024-6345)
一、漏洞描述:     
        setuptools.jpg
        setuptools是PyPI开源的一个 Python 库。setuptools 69.1.1及之前版本存在代码注入漏洞,该漏洞源于允许通过下载功能执行远程代码,容易受到代码注入攻击。
二、风险等级:
        高危
三、影响范围:
        setuptools < 69.1.1  
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/pypa/setuptools/releases/tag/v70.3.0


4 xrdp 配置参数漏洞(CVE-2024-39917)
一、漏洞描述:     
        xrdp-logo.jpg
        xrdp是neutrinolabs开源的一款开源远程桌面协议服务器。xrdp 0.10.0之前版本存在安全漏洞,该漏洞源于最大登录尝试次数的配置参数限制无效,允许攻击者进行无限次登录尝试。
二、风险等级:
        高危
三、影响范围:
        xrdp < 0.10.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/neutrinolabs/xrdp/releases/tag/v0.10.0
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 05:11

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表