漏洞风险提示（20241112)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Hewlett Packard Enterprise ArubaOS 命令注入漏洞（CVE-2024-42509）
一、漏洞描述：     
       
        Hewlett Packard Enterprise ArubaOS（HPE ArubaOS）是美国慧与（Hewlett Packard Enterprise）公司的一个网络无线操作系统。Hewlett Packard Enterprise ArubaOS存在安全漏洞，该漏洞源于存在命令注入漏洞，攻击者利用此漏洞可以导致以特权用户身份在底层操作系统上执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Hewlett Packard Enterprise ArubaOS
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://networkingsupport.hpe.com/home  

---

2 XStream拒绝服务漏洞（CVE-2024-47072）
一、漏洞描述：     
       
        XStream 是一个用于在 Java 对象和 XML 之间相互转换的工具，它能够将 Java 对象序列化为 XML 或 JSON 格式，也可以将 XML 或 JSON 格式的数据反序列化为 Java 对象，从而简化了数据的存储、传输和恢复。BinaryStreamDriver是XStream提供的一个驱动，它使用了一种优化的二进制格式来进行序列化与反序列化操作。XStream 1.4.21之前版本中，当 XStream 配置为使用 BinaryStreamDriver 时，由于在反序列化某些特定输入时处理不当，攻击者可以通过构造特定的二进制数据流作为输入，导致在反序列化时进入无限递归，从而触发栈溢出，使应用程序崩溃并导致服务中断，造成拒绝服务。
二、风险等级：
        高危
三、影响范围：
        XStream < 1.4.21
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://x-stream.github.io/download.html

---

3 CodeChecker 认证绕过漏洞（CVE-2024-10081）
一、漏洞描述：     
       
        CodeChecker是Ericsson开源的一个 Clang Static Analyzer 和 Clang Tidy 的分析工具、缺陷数据库和查看器扩展。CodeChecker 6.24.1及之前版本存在安全漏洞，该漏洞源于当API URL以Authentication结尾时发生的认证绕过，这允许超级用户访问除Authentication之外的所有API端点。
二、风险等级：
        高危
三、影响范围：
        CodeChecker <= 6.24.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/Ericsson/code ... GHSA-f3f8-vx3w-hp5q

---

4 Google Chrome 资源管理错误漏洞（CVE-2024-10826）
一、漏洞描述：     
       
        Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome Android 130.0.6723.116之前版本存在安全漏洞，该漏洞源于Family Experiences中存在释放后重用漏洞，允许远程攻击者通过精心设计的HTML页面潜在地利用堆损坏。
二、风险等级：
        高危
三、影响范围：
        Google Chrome Android < 130.0.6723.116  
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://chromereleases.googleblo ... te-for-desktop.html