19
2024 - 04
【漏洞通告】盘点近日重点漏洞
来源:安洽科技
欢迎来到安洽科技的公众号,我们致力于为用户提供最全面、最及时的安全风险提示和解决方案。每月我们会给您推送最新的安全风险提醒,帮助您更好地保护自己和企业。
在这里,您将了解到各种网络安全问题,并获得专业人士的建议和指导。无论是针对个人还是企业,我们都有适合您的解决方案。
感谢您的关注,安洽科技您身边的安全专家!
Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。
Apache Zeppelin存在全绕过漏洞,攻击者可利用该漏洞通过替换Apache Zeppelin中的现有注释,绕过身份验证。
【漏洞编号】:CVE-2024-31863
【漏洞等级】:高危
【影响版本】:
Apache Zeppelin >=0.10.1,<0.11.0
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://lists.apache.org/thread/3od2gfpwllmtc9c5ggw04ohn8s7w3ct9
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。
Google Android存在权限提升漏洞,该漏洞源于btm_sec.cc文件的access_secure_service_from_temp_bond方法存在输入验证不当,有一种可能的方法可以实现击键注入。攻击者可利用该漏洞提升权限。
【漏洞编号】:CVE-2024-23717
【漏洞等级】:高危
【影响版本】:
Google Android <12
Google Android <12L
Google Android <13
Google Android <14
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://source.android.com/security/bulletin/2024-03-01
MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。
MongoDB Server存在信任管理问题漏洞,该漏洞源于未提供CAFile和clusterCAFile时,服务器会跳过对等证书验证。攻击者可利用该漏洞导致中间人攻击。
【漏洞编号】:CVE-2024-1351
【漏洞等级】:高危
【影响版本】:
MongoDB MongoDB Server >=7.0,<=7.0.5
MongoDB MongoDB Server >=6.0,<=6.0.13
MongoDB MongoDB Server >=5.0,<=5.0.24
MongoDB MongoDB Server >=4.4,<=4.4.28
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://jira.mongodb.org/browse/SERVER-81312?jql=project+%3D+SERVER+AND+fixVersion+%3D+7.1.0-rc4
Adobe Experience Manager跨站脚本漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。
Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
【漏洞编号】:CVE-2024-26046
【漏洞等级】:中危
【影响版本】:
Adobe Adobe Experience Manager <=6.5.19
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://helpx.adobe.com/security/products/experience-manager/apsb24-21.html
PAN-OS 是运行 Palo Alto Networks 下一代防火墙的软件。通过利用 PAN-OS 本机内置的关键技术(App-ID、Content-ID、设备 ID 和用户 ID),可以在任何时间、任何地点完全了解和控制所有用户和设备中正在使用的应用程序。
Palo Alto Networks PAN-OS 软件的 GlobalProtect 功能中针对特定 PAN-OS 版本和不同功能配置下,未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。
【漏洞编号】:CVE-2024-3400
【漏洞等级】:高危
【影响版本】:
PAN-OS 11.1.* < 11.1.2-h3
PAN-OS 11.0.* < 11.0.4-h1
PAN-OS 10.2.* < 10.2.9-h1
【修复建议】:
厂商已发布了漏洞修复程序,请及时关注更新:
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184。
Rust 是一种开源的系统编程语言,它专注于安全性、并发性和性能,旨在提供内存安全和线程安全的同时,保持高性能和控制力。
在Windows上使用Command API调用批处理文件(使用bat和cmd扩展名)时,Rust标准库没有正确地对参数进行转义。攻击者如果能够控制传递给生成的进程的参数,就可以通过绕过转义来执行任意的Shell命令。
【漏洞编号】:CVE-2024-24576
【漏洞等级】:高危
【影响版本】:
Rust < 1.77.2(Windows平台)
【修复建议】:
官方已发布新版本修复漏洞,建议尽快升级到安全版本1.77.2及以上,链接如下:https://blog.rust-lang.org/2024/04/09/Rust-1.77.2.html
联系电话:400-006-9660
联系邮箱:service@anqia.com
公司地址:山西综改示范区太原学府园区东渠路西二巷6号智创城A座1711室
