免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 W&B Weave Server 任意文件读取漏洞(CVE-2024-7340)
一、漏洞描述:
W&B Weave Server 是 Weights & Biases (W&B) 提供的一种私有部署解决方案。它允许用户将 W&B 平台的功能运行在自己的服务器或私有云上,而不是使用 W&B 提供的公共云服务。这个解决方案对于那些对数据安全性和隐私有严格要求的组织特别有用,因为它允许完全控制数据的存储和访问。Weave 服务器 API 允许远程用户从特定目录获取文件,但由于缺乏输入验证,因此可以远程遍历和泄漏任意文件。在各种常见情况下,这允许低权限用户担任服务器管理员的角色。
二、风险等级:
高危
三、影响范围:
W&B Weave Server
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://beta.wandb.ai
2 Adobe Photoshop 资源管理错误漏洞(CVE-2024-34117)
一、漏洞描述:
Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。该软件主要用于处理图片。Adobe Photoshop 24.7.3之前的24.x版本、25.9.1之前的25.x版本存在资源管理错误漏洞,该漏洞源于受到释放后重用的影响,可能导致在当前用户的上下文中执行任意代码。
二、风险等级:
高危
三、影响范围:
Adobe Photoshop 24.7.3之前的24.x版本
Adobe Photoshop 25.9.1之前的25.x版本
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security ... shop/apsb24-49.html
3 SECOM Dr.ID Access Control System SQL注入漏洞(CVE-2024-7731)
一、漏洞描述:
SECOM Dr.ID Access Control System是中国中保(SECOM)公司的一个访问控制系统。SECOM Dr.ID Access Control System 3.6.3之前版本存在安全漏洞,该漏洞源于存在未正确验证特定页面参数,允许未经身份验证的远程攻击者注入SQL命令来读取、修改和删除数据库内容。
二、风险等级:
高危
三、影响范围:
SECOM Dr.ID Access Control System < 3.6.3
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.drid.com.tw/pages/doorControlSystem.html
4 CAYIN CMS 访问控制漏洞(CVE-2024-7729)
一、漏洞描述:
Cayin CAYIN CMS是中国铠应(Cayin)公司的一套内容管理系统(CMS)。CAYIN CMS存在安全漏洞,该漏洞源于缺乏适当的访问控制,允许未经身份验证的远程攻击者下载任意CGI文件。
二、风险等级:
高危
三、影响范围:
CAYIN CMS
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://resource1.cayintech.com/patch/ |
发表于 2024-8-19 13:59
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡