找回密码
 注册创意安天

漏洞风险提示(20241104)

[复制链接]
发表于 2024-11-4 09:15 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 ServiceNow沙箱逃逸漏洞(CVE-2024-8923)
一、漏洞描述:     
        ServiceNow.jpg
        ServiceNow Now Platform是一个基于云计算的软件平台,旨在帮助企业整合、数字化和自动化工作流程,以提高经营效率并优化服务管理、运营管理和业务分析等领域的性能。ServiceNow Now Platform在处理用户输入时缺乏充分验证,攻击者可通过构造恶意请求发送特定输入数据来利用该漏洞,从而可能导致沙箱逃逸和远程代码执行,成功利用该漏洞的攻击者可能导致服务中断、获取敏感信息或在Now Platform 的上下文中执行任意代码。
二、风险等级:
        高危
三、影响范围:
        ServiceNow Xanadu < Xanadu GA Release
        ServiceNow Washington DC < Washington DC Patch 4 Hot Fix 1a
        ServiceNow Washington DC < Washington DC Patch 5
        ServiceNow Vancouver < Vancouver Patch 9 Hot Fix 2a
        ServiceNow Vancouver < Vancouver Patch 10

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://support.servicenow.com/now


2 Apache Lucene.Net.Replicator远程代码执行漏洞(CVE-2024-43383)
一、漏洞描述:     
        Apache Lucene.Net.Replicator.jpg
        Apache Lucene.Net.Replicator中的不受信任数据反序列化漏洞。此问题影响Apache Lucene.NET的Replicator 库:从4.8.0-beta00005到4.8.0-beta00016。能够拦截复制客户端和服务器之间的流量或控制目标复制节点URL的攻击者可以提供特制的JSON响应,该响应被反序列化为攻击者提供的异常类型。这可能导致远程代码执行或其他潜在的未经授权的访问。建议用户升级到版本4.8.0-beta00017,该版本已修复此问题。
二、风险等级:
        高危
三、影响范围:
        4.8.0-beta00005 <= Apache Lucene.Net.Replicator <= 4.8.0-beta00016
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://lucenenet.apache.org/


3 Eclipse Mosquitto 安全漏洞(CVE-2024-10525)
一、漏洞描述:     
        Eclipse Mosquitto.jpg
        Eclipse Mosquitto是Eclipse基金会的一套开源的消息代理软件。Eclipse Mosquitto 1.3.2至2.0.18版本存在安全漏洞,该漏洞源于如果恶意代理发送一个没有原因代码的特制SUBACK数据包,使用libmosquitto的客户端在处理on_subscribe回调时,可能会发生越界内存访问。
二、风险等级:
        高危
三、影响范围:
        Eclipse Mosquitto 1.3.2-2.0.18
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://mosquitto.org/blog/2024/10/version-2-0-19-released/


4 Waitress 安全漏洞(CVE-2024-49768)
一、漏洞描述:     
        waitress.jpg
        Waitress是Pylons项目的一个生产质量的纯 Python WSGI 服务器。Waitress 3.0.1版本之前存在安全漏洞,该漏洞源于包含一个竞争条件问题。
二、风险等级:
        高危
三、影响范围:
        Waitress < 3.0.1   
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/Pylons/waitre ... GHSA-9298-4cf8-g4wj
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 04:59

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表