找回密码
 注册创意安天

漏洞风险提示(20241119)

[复制链接]
发表于 2024-11-19 09:17 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Palo Alto Networks Expedition命令注入漏洞(CVE-2024-9463)
一、漏洞描述:     
        Palo Alto Networks.jpg
        Palo Alto Networks Expedition是Palo Alto Networks提供的一款迁移工具,旨在帮助网络安全团队进行防火墙规则的迁移、优化和管理。它主要用于简化从旧防火墙设备(如思科、Check Point、Fortinet等)迁移到Palo Alto Networks防火墙的过程,并且可以帮助用户在迁移过程中清理和优化防火墙规则。Palo Alto Networks Expedition受影响版本中convertCSVtoParquet 接口存在命令注入漏洞,成功利用该漏洞可能导致未经身份验证的攻击者在Expedition中以root 身份运行任意系统命令,从而导致 PAN-OS 防火墙的用户名、明文密码、设备配置和设备API密钥泄露。目前该漏洞的PoC已公开,且已发现被利用。
二、风险等级:
        高危
三、影响范围:
        Palo Alto Networks Expedition < 1.2.96
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://live.paloaltonetworks.co ... ct-p/migration_tool


2 PostgreSQL代码执行漏洞(CVE-2024-10979)
一、漏洞描述:     
        postgresql.jpg
        PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统,并因其高度兼容SQL标准和强大的扩展功能,被广泛使用作为Web应用和服务的后端数据库。PostgreSQL多个受影响版本中,当PL/Perl扩展被安装并启用时,由于PL/Perl扩展未能正确控制环境变量,导致非特权数据库用户可以修改敏感的进程环境变量(如PATH),并可能利用该漏洞执行任意代码、获得对数据库服务器的未授权访问权限,或者执行数据窃取、数据篡改或破坏等恶意操作。
二、风险等级:
        高危
三、影响范围:
        PostgreSQL 17 < 17.1
        PostgreSQL 16 < 16.5
        PostgreSQL 15 < 15.9
        PostgreSQL 14 < 14.14
        PostgreSQL 13 < 13.17
        PostgreSQL 12 < 12.21

四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://www.postgresql.org/download/  


3 GitHub CLI 命令注入漏洞(CVE-2024-52308)
一、漏洞描述:     
        GitHub-Logo.jpg
        GitHub CLI是GitHub CLI开源的一个命令行上的 GitHub。GitHub CLI 2.61.0版本及之前版本存在命令注入漏洞。攻击者利用该漏洞可以通过恶意 codespace SSH 服务器执行远程代码。
二、风险等级:
        高危
三、影响范围:
        GitHub CLI <= 2.61.0
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/cli/cli/releases/tag/v2.62.0


4 LoLLMs 代码问题漏洞(CVE-2024-5125)
一、漏洞描述:     
        LoLLMs.jpg
        LoLLMs是Saifeddine ALOUI个人开发者的一个大型语言多模式系统的 Web UI。LoLLMs 9.6版本存在代码问题漏洞,该漏洞源于存在跨站脚本(XSS)和开放重定向漏洞,允许攻击者在SVG文件中嵌入恶意JavaScript代码。
二、风险等级:
        高危
三、影响范围:
        LoLLMs 9.6
四、修复建议:
        目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
        https://github.com/ParisNeo/lollms-webui/releases/tag/v9.8
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 04:15

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表