找回密码
 注册创意安天

漏洞风险提示(20241111)

[复制链接]
发表于 2024-11-11 09:16 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Apache ZooKeeper身份验证绕过漏洞(CVE-2024-51504)
一、漏洞描述:     
        Apache ZooKeeper.jpg
        Apache ZooKeeper是一个分布式协调服务,主要用于管理大型分布式系统中的数据和状态,它提供了高效的分布式锁、配置管理、命名服务和集群管理功能,通过简单的接口支持分布式应用实现一致性和协调。ZooKeeper通常用于保障分布式应用的高可用性和数据一致性,适用于如Hadoop、Kafka、HBase等系统,帮助协调各个节点的状态和操作,避免冲突和数据不一致问题。Apache ZooKeeper 3.9.0 - 3.9.3之前版本中存在身份验证绕过漏洞,当ZooKeeper Admin Server使用基于IP的身份验证(IPAuthenticationProvider)时,由于默认配置下使用了可被轻易伪造的HTTP请求头(如X-Forwarded-For)来检测客户端IP地址,攻击者可通过伪造请求头中的IP地址来绕过身份验证,进而实现未授权访问管理服务器功能并任意执行管理服务器命令(例如快照和恢复),从而可能导致信息泄露或服务可用性问题。
二、风险等级:
        高危
三、影响范围:
        3.9.0 <= Apache ZooKeeper < 3.9.3
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://zookeeper.apache.org/releases.html  


2 WordPress plugin WP JobSearch 代码问题漏洞(CVE-2024-8615)
一、漏洞描述:     
        WordPress plugin WP JobSearch.jpg
        WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin WP JobSearch 2.6.7及之前版本存在代码问题漏洞,该漏洞源于jobsearch_location_load_excel_file_callback()函数中缺少文件类型验证,从而容易受到任意文件上传的攻击。
二、风险等级:
        高危
三、影响范围:
        WordPress plugin WP JobSearch <= 2.6.7
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.wordfence.com/threat ... f3926914?source=cve


3 JeecgBoot SQL 注入漏洞(CVE-2024-48307)
一、漏洞描述:     
        Jeecgboot.jpg
        JeecgBoot是中国国炬(Jeecg)公司的一个适用于企业 Web 应用程序的 Java 低代码平台。JeecgBoot v3.7.1版本存在安全漏洞,该漏洞源于通过组件 /onlDragDatasetHead/getTotalData 发现包含 SQL 注入漏洞。
二、风险等级:
        高危
三、影响范围:
        JeecgBoot v3.7.1
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.jeecg.com/


4 Ethereum 远程代码执行漏洞(CVE-2024-51427)
一、漏洞描述:     
        Ethereum.jpg
        Ethereum是Ethereum组织的一个公共加密货币平台。Ethereum v.1.12.2版本存在安全漏洞,该漏洞源于允许远程攻击者通过PepeGxng smart contract mint函数执行任意代码。
二、风险等级:
        高危
三、影响范围:
        Ethereum v.1.12.2  
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/ethereum/go-ethereum/releases/tag/v1.14.11  
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 05:25

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表