漏洞风险提示（20241031)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Squid 拒绝服务漏洞（CVE-2024-45802）
一、漏洞描述：     
       
        Squid是Squid开源的一套代理服务器和Web缓存服务器软件。该软件提供缓存万维网、过滤流量、代理上网等功能。Squid 6.10之前版本存在安全漏洞，该漏洞源于容易受到受信任服务器针对使用该代理的所有客户端发起的拒绝服务攻击。
二、风险等级：
        高危
三、影响范围：
        Squid < 6.10
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/squid-cache/s ... GHSA-f975-v7qw-q7hj

---

2 Spring WebFlux 授权规则漏洞（CVE-2024-38821）
一、漏洞描述：     
       
        Spring WebFlux是Spring公司的一个响应式堆栈 Web 框架。Spring WebFlux存在安全漏洞，该漏洞源于在特定情况下可以绕过Spring Security对静态资源的授权规则。
二、风险等级：
        高危
三、影响范围：
        Spring WebFlux
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://spring.io/security/cve-2024-38821

---

3 ZimaOS 输入验证不当漏洞（CVE-2024-48931）
一、漏洞描述：     
       
        ZimaOS是IceWhaleTech的一个开源的操作系统项目，旨在提供一个轻量级、高性能、安全的操作系统环境。ZimaOS 1.2.4版本之前存在安全漏洞，该漏洞源于输入验证不当，ZimaOS中的API端点/v3/file容易受到任意文件读取攻击。
二、风险等级：
        高危
三、影响范围：
        ZimaOS < 1.2.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/IceWhaleTech/ ... GHSA-hjw2-9gq5-qgwj

---

4 OpenRefine 代码注入漏洞（CVE-2024-47879）
一、漏洞描述：     
       
        OpenRefine是一款基于Java的开源工具。该产品主要用于加载数据、分析数据和清理数据等。OpenRefine 3.8.3版本之前存在代码注入漏洞，该漏洞源于preview-expression命令缺乏跨站请求伪造保护。
二、风险等级：
        高危
三、影响范围：
        OpenRefine < 3.8.3   
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/OpenRefine/Op ... GHSA-3jm4-c6qf-jrh3