漏洞风险提示（20240929)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 HPE Aruba Networking Access Points命令注入漏洞（CVE-2024-42505）
一、漏洞描述：     
       
        HPE Aruba Networking Access Points（接入点）是HPE旗下的Aruba Networking推出的一系列高性能无线接入点产品，旨在为企业提供稳定、高效、安全的无线网络连接，被广泛应用于企业、教育、商业等各种场景。由于HPE Aruba Networking Access Points底层 CLI 服务中存在多个命令注入漏洞，可能导致未经身份验证的威胁者通过向 PAPI（Aruba的接入点管理协议）UDP 端口 (8211) 发送特制数据包导致远程命令执行，成功利用这些漏洞可能导致在底层操作系统上以特权用户身份执行任意命令或代码。
二、风险等级：
        高危
三、影响范围：
        AOS-10.6.x.x <=10.6.0.2
        AOS-10.4.x.x  <=10.4.1.3
        Instant AOS-8.12.x.x <=8.12.0.1
        Instant AOS-8.10.x.x <=8.10.0.13
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://networkingsupport.hpe.com/home

---

2 NVIDIA 代码注入漏洞（CVE-2024-0132）
一、漏洞描述：     
       
        NVIDIA Container Toolkit 1.16.1或更早版本在默认配置下使用时包含检查时间使用时间(TOCTOU)漏洞，其中特制的容器映像可能会访问主机文件系统。这不会影响使用CDI的用例。成功利用此漏洞可能导致代码执行、拒绝服务、特权升级、信息泄露和数据篡改。
二、风险等级：
        高危
三、影响范围：
        NVIDIA Container Toolkit <= 1.16.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://nvidia.custhelp.com/app/answers/detail/a_id/5582

---

3 WordPress plugin Prisna GWT 代码问题漏洞（CVE-2024-8514）
一、漏洞描述：     
       
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Prisna GWT 1.4.11版本及之前版本存在代码问题漏洞。攻击者可以删除任意文件、检索敏感数据或执行代码。
二、风险等级：
        高危
三、影响范围：
        WordPress plugin Prisna GWT <= 1.4.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://wordpress.org/plugins/google-website-translator/

---

4 CODESYS 代码问题漏洞（CVE-2024-8175）
一、漏洞描述：     
       
        CODESYS是德国CODESYS公司的一个工业控制自动化软件。CODESYS存在代码问题漏洞，该漏洞源于未经身份验证的远程攻击者可以导致服务器访问无效内存，从而导致拒绝服务。
二、风险等级：
        高危
三、影响范围：
        0.9.0 <= Google Mesop < 0.12.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.codesys.com/the-syst ... news/list/News.html