漏洞风险提示（20241025)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Fortinet FortiManager身份验证不当漏洞（CVE-2024-47575）
一、漏洞描述：     
       
        Fortinet FortiManager 是 Fortinet 公司推出的一款用于集中管理多个Fortinet 设备（如FortiGate防火墙）的网络安全管理解决方案，它为组织提供了一种高效管理其网络安全基础设施的方法，特别适用于多设备和分布式环境。FortiManager fgfmd守护进程中缺少关键功能的身份验证，未经身份验证的远程攻击者可以使用有效的 FortiGate 证书在 FortiManager 中注册未授权设备，利用该漏洞在 FortiManager 上远程执行任意命令或代码，成功利用可能导致敏感信息泄露或完全控制托管设备和 FortiManager，进而进一步入侵整个网络。
二、风险等级：
        高危
三、影响范围：
        FortiManager < 7.6
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.fortinet.com/product/fortimanager/7.6

---

2 Xlight FTP 输入验证错误漏洞（CVE-2024-46483）
一、漏洞描述：     
       
        Xlight FTP是Xlight FTP公司的一款高性能且易于使用的 FTP 服务器软件。使文件传输安全且易于使用。Xlight FTP 3.9.4.3之前版本存在安全漏洞，该漏洞源于SFTP服务器包解析逻辑中的整数溢出，可能导致使用攻击者控制的内容进行堆溢出。
二、风险等级：
        高危
三、影响范围：
        Xlight FTP < 3.9.4.3
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.xlightftpd.com/download.htm

---

3 Trend Micro Cloud Edge 命令注入漏洞（CVE-2024-48904）
一、漏洞描述：     
       
        Trend Micro Cloud Edge是美国趋势科技（Trend Micro）公司的一款云安全解决方案，旨在保护企业的云基础设施、应用和数据。Trend Micro Cloud Edge 5.6SP2版本和7.0版本存在安全漏洞，该漏洞源于存在命令注入漏洞，可能允许远程攻击者在受影响的设备上执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Trend Micro Cloud Edge 5.6SP2
        Trend Micro Cloud Edge 7.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://success.trendmicro.com/en-US/solution/KA-0017998

---

4 PfSense 跨站脚本漏洞（CVE-2024-46538）
一、漏洞描述：     
       
        PfSense是一套基于FreeBSD Linux的网络防火墙。PfSense v2.5.2版本存在安全漏洞，该漏洞源于容易受到跨站脚本攻击，允许攻击者通过精心设计的有效负载执行任意Web脚本或HTML。
二、风险等级：
        高危
三、影响范围：
        PfSense v2.5.2   
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://redmine.pfsense.org/issues/15778