漏洞风险提示（20241209)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 SailPoint IdentityIQ访问控制不当漏洞（CVE-2024-10905）
一、漏洞描述：     
       
        SailPoint IdentityIQ 是一个功能强大的身份和访问管理（IAM）平台，广泛用于企业中，以提供全面的身份治理和访问管理解决方案。SailPoint IdentityIQ中存在一个访问控制不当漏洞，攻击者可利用该漏洞在未经授权的情况下通过HTTP直接访问 IdentityIQ 应用程序目录中本应受保护的静态内容（比如敏感配置文件、应用程序代码和用户数据等），从而可能导致敏感信息泄露或执行未经授权的操作。
二、风险等级：
        高危
三、影响范围：
        IdentityIQ 8.4 < 8.4p2
        IdentityIQ 8.3 < 8.3p5
        IdentityIQ 8.2 < 8.2p8
        IdentityIQ 的所有先前版本
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.sailpoint.com/securi ... lity-cve-2024-10905

---

2 Django Oracle SQL注入漏洞（CVE-2024-53908）
一、漏洞描述：     
       
        Django是一个基于Python的开源Web应用框架。Django应用使用Oracle数据库作为后端时，当Django应用中的django.db.models.fields.json.HasKey查找功能被直接用于Oracle数据库，并且其左侧参数（lhs）包含不受信任的数据时，可能会导致SQL注入攻击，攻击者可通过注入恶意SQL代码来攻击数据库，从而可能导致敏感数据泄露、数据篡改或数据库被恶意控制。
二、风险等级：
        高危
三、影响范围：
        Django 5.1 < 5.1.4
        Django 5.0 < 5.0.10
        Django 4.2 < 4.2.17
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.djangoproject.com/download/  

---

3 solana/web3.js 信息泄露漏洞（CVE-2024-54134）
一、漏洞描述：     
       
        solana/web3.js是Solana Labs的一个JavaScript 库。solana/web3.js 1.95.6版本和1.95.7版本存在信息泄露漏洞，该漏洞源于允许攻击者发布未经授权的恶意程序包，这些程序包经过修改可以窃取私钥材料并从直接处理私钥的dapps中窃取资金。
二、风险等级：
        高危
三、影响范围：
        solana/web3.js 1.95.6 - 1.95.7
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://github.com/solana-labs/s ... eleases/tag/v1.95.8

---

4 SolarWinds Platform 跨站脚本漏洞（CVE-2024-45717）
一、漏洞描述：     
       
        SolarWinds Platform是美国SolarWinds公司的一个统一监控、可观察性和服务管理平台。SolarWinds Platform存在跨站脚本漏洞，该漏洞源于容易受到跨站脚本攻击，会影响用户界面的搜索和节点信息部分。
二、风险等级：
        高危
三、影响范围：
        SolarWinds Platform
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://documentation.solarwinds ... 1_release_notes.htm