漏洞风险提示（20240925)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Navidrome SQL注入漏洞（CVE-2024-47062）
一、漏洞描述：     
       
        Navidrome是Navidrome开源的一个基于 Web 的开源音乐收集服务器和流媒体。用于自由地从任何浏览器或移动设备收听音乐收藏。Navidrome v0.52.5及之前版本存在SQL注入漏洞，该漏洞源于参数名称未正确转义，导致SQL注入。
二、风险等级：
        高危
三、影响范围：
        Navidrome <= v0.52.5
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/navidrome/nav ... GHSA-58vj-cv5w-v4v6

---

2 Arc 远程代码执行漏洞（CVE-2024-45489）
一、漏洞描述：     
       
        Arc是Arc公司的一款浏览器。Arc 2024-08-26之前版本存在安全漏洞，该漏洞源于存在远程代码执行漏洞，允许攻击者通过配置不当的Firebase ACLs在受害者的浏览器中执行任意JavaScript代码。
二、风险等级：
        高危
三、影响范围：
        Arc < 2024-08-26
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://arc.net/blog/CVE-2024-45489-incident-response

---

3 User-Friendly SVN 安全漏洞（CVE-2024-37879）
一、漏洞描述：     
       
        User-Friendly SVN（USVN）是USVN团队的一套基于Web的Subversion代码库的配置工具。该工具提供创建新项目、管理授权用户列表等功能。User-Friendly SVN v1.0.12之前版本存在安全漏洞，该漏洞源于对用户的输入验证不当。攻击者利用该漏洞通过字段“siteTitle”、“siteIco”和“siteLogo”执行任意代码。
二、风险等级：
        高危
三、影响范围：
        User-Friendly SVN < v1.0.12
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/usvn/usvn/com ... 3b95ff9c8947cf5f46f

---

4 FreeBSD bhyve越界读取漏洞（CVE-2024-41721）
一、漏洞描述：     
       
        FreeBSD是一种功能强大、稳定可靠、开源自由的类UNIX操作系统，广泛应用于服务器、桌面系统和嵌入式系统等领域。在FreeBSD系统中，bhyve 是一种硬件级别的虚拟化技术，也是FreeBSD下的原生虚拟机管理器，为用户提供了一种高效、灵活且易于管理的虚拟化解决方案。FreeBSD系统中bhyve的XHCI仿真功能中存在漏洞，由于USB代码中存在边界验证不足，可能导致堆越界读取，进而可能导致任意写入和远程代码执行，如果恶意软件以特权模式在bhyve管理的虚拟机（guest VM）中运行，则可能利用该漏洞导致虚拟机监控程序进程崩溃，或在主机上的 bhyve 用户空间进程（通常以root权限运行）中实现代码执行。
二、风险等级：
        高危
三、影响范围：
        FreeBSD
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.freebsd.org/where/