漏洞风险提示（20250121)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内 容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 QNAP Systems AI Core信息泄露漏洞（CVE-2024-38647）
一、漏洞描述：
        
        QNAP Systems AI Core是中国威联通科技（QNAP Systems）公司的一个人工智能核心软件。QNAP Systems AI Core 3.4.1之前版本存在信息泄露漏洞，远程攻击者可利用该漏洞破坏系统的安全性并泄露敏感信息。
二、风险等级：
        高
三、影响范围：
        QNAP Systems AI Core < 3.4.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.qnap.com/en/security-advisory/qsa-24-40

---

2 Kubernetes路径遍历漏洞（CVE-2024-10220）
一、漏洞描述：
        
        Kubernetes（K8s）是Kubernetes开源的一个开源系统，用于自动部署、扩展和管理容器化应用程序。Kubernetes 1.28.11及之前版本、1.29.0至1.29.6版本、1.30.0至1.30.2版本存在路径遍历漏洞，攻击者可利用该漏洞通过特制的gitRepo交易量执行任意命令。
二、风险等级：
        高
三、影响范围：
        Kubernetes Kubernetes >= 1.30.0 <= 1.29.6
        Kubernetes Kubernetes >= 1.29.0 <= 1.29.6
        Kubernetes Kubernetes <= 1.28.11
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        http://www.openwall.com/lists/oss-security/2024/11/20/1

---

3 Apache StreamPark 安全漏洞（CVE-2024-34457）
一、漏洞描述：
        
        Apache StreamPark是美国阿帕奇（Apache）基金会的一个流媒体应用程序开发框架。 Apache StreamPark 1.0.0版本 至2.1.4之前版本存在安全漏洞。攻击者利用该漏洞可以使用授权令牌手动发出请求，查看每个人的用户flink信息。
二、风险等级：
        高
三、影响范围：
        apache streampark <2.1.4
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://lists.apache.org/thread/brlfrmvw9dcv38zoofmhxg7qookmwn7j

---

4 TP-Link TL-IPC42C命令注入漏洞（CVE-2024-48288）
一、漏洞描述：
        
        TP-LINK TL-IPC42C是中国普联（TP-LINK）公司的一款无线网络摄像机。TP-LINK TL-IPC42C 4.0_20211227_1.0.16版 本存在命令注入漏洞，该漏洞源于程序未正确验证恶意代码，攻击者可利用该漏洞执行任意代码。
二、风险等级：
        高
三、影响范围：
        TP-LINK TL-IPC42C 4.0_20211227_1.0.16
四、修复建议：
        厂商尚未提供漏洞修复方案，请关注厂商主页更新：
        https://security.tp-link.com.cn/service?content=policy

---