漏洞风险提示（20241128)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 NGTCP2缓冲区溢出漏洞（CVE-2024-52811）
一、漏洞描述：     
       
        ngtcp2是ngtcp2开源的一个库。ngtcp2存在安全漏洞，该漏洞源于ack在写入qlog之前未经过验证，从而导致缓冲区溢出。
二、风险等级：
        高危
三、影响范围：
        NGTCP2 = 1.9.0
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/ngtcp2/ngtcp2 ... bf256c13349e2e624a1

---

2 Nikon NEF Codec 代码执行漏洞（CVE-2024-8025）
一、漏洞描述：     
       
        Nikon NEF Codec是日本尼康（Nikon）公司的一个编解码器模块。Nikon NEF Codec存在安全漏洞，该漏洞源于在将用户提供的数据复制到基于堆的缓冲区之前没有对其进行长度的正确验证。攻击者利用该漏洞可以执行任意代码。
二、风险等级：
        高危
三、影响范围：
        Nikon NEF Codec
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://downloadcenter.nikonimglib.com/en/download/sw/259.html

---

3 SoapUI 路径遍历漏洞（CVE-2024-7565）
一、漏洞描述：     
       
        SoapUI是SmartBear开源的一个 API 测试工具。SoapUI存在路径遍历漏洞，该漏洞源于在文件操作中使用用户提供的路径之前缺乏适当的验证，存在目录遍历远程代码执行漏洞，允许远程攻击者在受影响的安装上执行任意代码。
二、风险等级：
        高危
三、影响范围：
        SoapUI
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.soapui.org/downloads/latest-release/release-notes/

---

4 Trimble SketchUp 资源管理错误漏洞（CVE-2024-7510）
一、漏洞描述：     
       
        Trimble SketchUp是美国Trimble公司的一套面向建筑师、城市规划专家、制片人、游戏开发者以及相关专业人员的3D建模程序。Trimble SketchUp存在资源管理错误漏洞，该漏洞源于SKP文件解析过程中存在释放后重用，可能导致远程执行代码。
二、风险等级：
        高危
三、影响范围：
        Trimble SketchUp
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sketchup.com/zh-cn