免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内 容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 Apache James拒绝服务漏洞(CVE-2024-37358)
一、漏洞描述:
Apache James(Java Apache Mail Enterprise Server)是一个开源的邮件服务器,支持SMTP、IMAP 和 POP3 协议。 它基于Java开发,可扩展并支持模块化架构,适用于企业级邮件处理。James 具备邮件存储、用户管理、邮件过滤等功能,并可集成LDAP、数据库等外部系统,适用于构建自定义邮件解决方案。攻击者可滥用IMAP字面量(IMAP literals)触发无限制的内存分配和长时间计 算,从而导致拒绝服务(DoS)。该漏洞可被认证用户和未认证用户利用,可能导致服务器资源耗尽,影响正常业务运行。
二、风险等级:
高
三、影响范围:
Apache James Server ≤ 3.7.5
3.8.0 ≤ Apache James Server ≤ 3.8.1
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://james.apache.org/download.cgi#Apache_James_Server/
2 Go Darwin 构建代码执行漏洞(CVE-2025-22867)
一、漏洞描述:
Go(也称为 Golang)是由 Google 开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。它具有垃圾回 收、内存安全和强大的并发支持(goroutines)。Go 语言广泛应用于服务器端开发、网络编程和云计算等领域,特别适合需要高性能和 可扩展性的应用。该漏洞影响Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平台上。该漏洞源于Go构建过程中,CGO模块与Apple版本 的ld(链接器)配合使用时,滥用#cgo LDFLAGS指令中的@executable_path、@loader_path或@rpath等特殊路径值,可能导致任意代码执行。攻击者可通过精心构造的Go模块触发此漏洞,在构建过程中执行恶意代码,从而危及系统安全。
二、风险等级:
高
三、影响范围:
Go 1.24rc2
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/golang/go/tags/
3 IrfanView未初始化指针远程代码执行漏洞(CVE-2024-9258)
一、漏洞描述:
IrfanView是Irfan Skiljan个人开发者的一款图片浏览器,支持图片浏览、图片编辑、图片格式转换等。IrfanView的SID文件解析存在未初始化指针远程代码执行漏洞,该漏洞源于程序未正确对指针进行初始化,攻击者可通过使用户访问恶意网页或打开恶意文件利用该漏洞,进而在当前进程环境中执行代码。
二、风险等级:
高
三、影响范围:
IrfanView IrfanView
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://www.zerodayinitiative.com/advisories/ZDI-24-1370/
4 Timo文件上传漏洞(CVE-2024-57407)
一、漏洞描述:
TIMO是一个开源的后台管理系统,其2.0.3版本中存在文件上传漏洞,攻击者可上传恶意文件进而控制服务器。
二、风险等级:
高
三、影响范围:
Timo V2.0.3
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://gitee.com/aun/Timo
|
发表于 2025-2-11 08:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡