找回密码
 注册创意安天

漏洞风险提示(20240927)

[复制链接]
发表于 2024-9-27 09:22 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache HertzBeat SnakeYaml反序列化漏洞(CVE-2024-42323)
一、漏洞描述:     
        Apache HertzBeat.jpg
        Apache HertzBeat (incubating)是一个易于使用的开源实时监控系统,具有无代理(Agentless)、高性能集群、兼容prometheus、提供强大的自定义监控和状态页面构建功能。Apache HertzBeat 1.6.0 之前版本中,由于使用了存在漏洞的 SnakeYaml解析库,可能导致经过身份验证的威胁者通过恶意YAML数据/配置文件(被HertzBeat用于定义监控类型或其他关键配置)触发反序列化漏洞,从而导致远程代码执行。
二、风险等级:
        高危
三、影响范围:
        Apache HertzBeat < 1.6.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/apache/hertzbeat/releases


2 pgAdmin信息泄露漏洞(CVE-2024-9014)
一、漏洞描述:     
        pgadmin.jpg
        pgAdmin是PostgreSQL的官方图形界面管理工具,以便于管理和维护PostgreSQL数据库。pgAdmin 8.11及之前版本的OAuth2身份验证实现中存在漏洞,可能导致OAuth2 客户端ID和密钥在web浏览器中被暴露或泄露,威胁者可利用该漏洞获取敏感信息并未授权访问用户数据。
二、风险等级:
        高危
三、影响范围:
        pgAdmin 4 <= v8.11
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.pgadmin.org/download/


3 TheGreenBow 多款产品代码执行漏洞(CVE-2024-45750)
一、漏洞描述:     
        TheGreenBow.jpg
        TheGreenBow Windows标准VPN客户端6.87.108(及更早版本)、Windows企业VPN客户端6.87.109(及更早版本)、Windows企业VPN客户端7.5.007(及更早版本)、Android VPN客户端6.4.5(及更早版本)VPN客户端Linux 3.4(及更早版本)、VPN客户端MacOS 2.4.10(及更早版本)中存在一个问题,允许远程攻击者通过IKEv2身份验证阶段执行任意代码,它接受格式错误的ECDSA签名并建立隧道。
二、风险等级:
        高危
三、影响范围:
        Windows Standard VPN Client <= 6.87.108
        Windows Enterprise VPN Client <= 6.87.109
        Windows Enterprise VPN Client <= 7.5.007
        Android VPN Client <= 6.4.5
        VPN Client Linux <= 3.4
        VPN Client MacOS <= 2.4.10

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.thegreenbow.com/en/s ... rts/#deeplink-17024


4 Google Mesop 未经授权访问漏洞(CVE-2024-45601)
一、漏洞描述:     
        Google Mesop.jpg
        Google Mesop是美国谷歌(Google)公司的一个基于 Python 的 UI 框架。Google Mesop 0.9.0版本至0.12.4之前版本存在安全漏洞,该漏洞源于输入验证不足,可能允许未经授权访问服务器上的文件。
二、风险等级:
        高危
三、影响范围:
        0.9.0 <= Google Mesop < 0.12.4
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/google/mesop/releases/tag/v0.12.4
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 04:09

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表