免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Next.js SSRF漏洞(CVE-2024-34351)
一、漏洞描述:
Next.js 是一个 React 框架,可以提供构建块来创建 Web 应用程序。在服务器操作中发现了一个服务器端请求伪造 (SSRF) 漏洞Next.js。如果修改了“Host”标头,并且还满足以下条件,则攻击者可能能够发出看似来自Next.js应用程序服务器本身的请求。所需的条件是:1、 Next.js以自托管方式运行; 2、Next.js应用程序使用服务器操作; 3、 服务器操作执行重定向到以“/”开头的相对路径。此漏洞已在Next.js“14.1.1”中修复。未经身份验证的远程攻击者可以利用此漏洞扫描服务器所在的内网或本地端口,获取服务的banner信息,窥探网络结构,甚至对内网或本地运行的应用程序发起攻击,获取服务器内部敏感配置,造成信息泄露。
二、风险等级:
高危
三、影响范围:
Next.js < 14.1.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.nextjs.cn
2 Oracle Fusion Middleware 远程代码执行漏洞(CVE-2024-21181)
一、漏洞描述:
Oracle Fusion Middleware(Oracle融合中间件)和Oracle WebLogic Server都是美国甲骨文(Oracle)公司的产品。Oracle Fusion Middleware是一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。Oracle Fusion Middleware 的 Oracle WebLogic Server 12.2.1.4.0版本和14.1.1.0.0版本存在安全漏洞。攻击者利用该漏洞可以接管Oracle WebLogic Server。
二、风险等级:
高危
三、影响范围:
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.oracle.com/security-alerts/cpujul2024.html
3 Thruk 远程代码执行漏洞(CVE-2024-39915)
一、漏洞描述:
Thruk是德国Sven Nierlein个人开发者的一个开源的多后端监控网络界面。Thruk 3.16之前版本存在安全漏洞,该漏洞源于在生成PDF报告时没有正确处理 url 参数。具有报告功能访问权限的授权攻击者可以注入任意命令,这些命令将在调用脚本 /script/html2pdf.sh时执行。
二、风险等级:
高危
三、影响范围:
Thruk < 3.16
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/sni/Thruk/releases/tag/v3.16
4 OTRS 权限提升漏洞(CVE-2024-23794)
一、漏洞描述:
OTRS是德国OTRS公司的一个应用软件。一个服务管理软件。OTRS存在安全漏洞,该漏洞源于存在不正确的权限分配漏洞,可能导致权限提升。
二、风险等级:
高危
三、影响范围:
OTRS
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://otrs.com/release-notes/otrs-security-advisory-2024-06/ |
发表于 2024-7-19 09:08
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡