找回密码
 注册创意安天

漏洞风险提示(20240906)

[复制链接]
发表于 2024-9-6 09:14 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Ultimaker Cura代码执行漏洞(CVE-2024-8374)
一、漏洞描述:     
        Ultimaker Cura.jpg
        UltiMaker Cura版本5.7.0-beta.1到5.7.2很容易通过3MF格式阅读器(/plugins/ threemfreader.py )进行代码注入。这个漏洞源于对3MF文件中 drop_to_buildplate属性的不当处理,这些文件是包含模型数据的ZIP归档文件。当一个3MF文件在Cura加载时,drop_to_buildplate属性的值被传递给Python eval()函数,而没有进行适当的处理,从而允许攻击者通过编写一个恶意的3MF文件来执行任意代码。由于3MF文件通常通过3D模型数据库共享,因此这个漏洞带来了很大的风险。
二、风险等级:
        高危
三、影响范围:
        5.7.0-beta.1 <= Cura <= 5.7.2
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Ultimaker/Cura/releases/tag/5.8.1


2 WP Job Portal信息泄露漏洞(CVE-2024-7950)
一、漏洞描述:     
        [ WordPress WP Job Portal.jpg
        WP Job Portal适用于公司或职位公告板的完整招聘系统WordPress网站插件,在2.1.6及之前的所有版本中都存在本地文件包含、任意设置更新和用户创建漏洞,这些漏洞通过“checkFormRequest”函数调用的多个函数实现。这使得未经身份验证的攻击者可以在服务器上包含和执行任意文件,从而允许在这些文件中执行任何PHP代码。这可用于绕过访问控制、获取敏感数据或在可以上传和包含图像和其他“安全”文件类型的情况下实现代码执行。攻击者还可以更新任意设置并创建用户帐户(即使在禁用注册的情况下),从而导致创建具有管理员默认角色的用户。
二、风险等级:
        高危
三、影响范围:
        WP Job Portal <= 2.1.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://wordpress.org/plugins/wp-job-portal/


3 WAYOS FBM-291W命令执行漏洞(CVE-2024-44383)
一、漏洞描述:     
        WAYOS.jpg
        WAYOS FBM-291W v19.09.11容易受到msp_info_htm命令执行的攻击。
二、风险等级:
        高危
三、影响范围:
        WAYOS FBM-291W 19.09.11
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.wayos.com/product/ji ... fituijian/2355.html


4 Mozilla Firefox和Mozilla Firefox ESR 类型混淆漏洞漏洞(CVE-2024-8381)
一、漏洞描述:     
        Mozilla Firefox.jpg
        Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Firefox和Mozilla Firefox ESR存在安全漏洞,该漏洞源于存在类型混淆漏洞。
二、风险等级:
        高危
三、影响范围:
        Mozilla Firefox Mozilla Firefox ESR
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.mozilla.org/en-US/security/advisories/mfsa2024-39/
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 03:31

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表