漏洞风险提示（20241021)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kubernetes Image Builder默认凭证漏洞（CVE-2024-9486）
一、漏洞描述：     
       
        Kubernetes是一个跨主机集群的开源容器调度平台，旨在自动化部署、扩展和管理容器化的应用程序。Kubernetes Image Builder 是一款用于跨多个基础设施提供商构建 Kubernetes 虚拟机（VM）镜像的工具，它支持多种提供者，如Proxmox Provider、Nutanix、OVA和QEMU等，以实现灵活的镜像构建和管理，使得用户能够在不同环境中部署和管理虚拟机镜像。Kubernetes Image Builder v0.1.37 及之前的版本中通过 Proxmox Provider 构建的VM镜像中存在默认凭证漏洞（SSH账户builder/builder），由于这些默认凭证未在镜像构建完成后被修改或禁用，导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机，从而获得对目标节点的访问权限。
二、风险等级：
        高危
三、影响范围：
        Kubernetes Image Builder <= v0.1.37
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/kubernetes-si ... eleases/tag/v0.1.38

---

2 Autodesk Revit 缓冲区错误漏洞（CVE-2024-7993）
一、漏洞描述：     
       
        Autodesk Revit是美国Autodesk公司的一套建筑信息模型软件。Autodesk Revit存在缓冲区错误漏洞，该漏洞源于恶意构造的PDF文件在解析过程中可导致越界写入，造成崩溃、写入敏感数据或在当前进程的上下文中执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Autodesk Revit
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.autodesk.com/trust/s ... s/adsk-sa-2024-0018

---

3 Suricata 安全特征问题漏洞（CVE-2024-47187）
一、漏洞描述：     
       
        Suricata是Open Information Security基金会的一个网络IDS、IPS和NSM引擎。Suricata 7.0.7之前版本存在安全特征问题漏洞，该漏洞源于缺少“thash”随机种子的初始化，从而导致数据集具有可预测的哈希表行为。
二、风险等级：
        高危
三、影响范围：
        Suricata < 7.0.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/OISF/suricata/releases/tag/suricata-7.0.7

---

4 VMware HCX SQL注入漏洞（CVE-2024-38814）
一、漏洞描述：     
       
        VMware HCX是美国威睿（VMware）公司的一个应用程序移动平台。旨在简化跨数据中心和云的应用程序迁移、工作负载再平衡和业务连续性。VMware HCX存在SQL注入漏洞，该漏洞源于可能允许具有非管理员权限的恶意认证用户执行特别构造的SQL查询并在HCX管理器上执行未经授权的远程代码执行。
二、风险等级：
        高危
三、影响范围：
        VMware HCX
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://support.broadcom.com/web ... yAdvisories/0/25019