雷神众测漏洞周报2024.04.29-2024.05.05
2024-5-7 14:20:51 Author: mp.weixin.qq.com(查看原文) 阅读量:18 收藏

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Apache ActiveMQ Jolokia 和 REST API 未授权访问漏洞

2.FFmpeg < n7.0 堆溢出漏洞

3.畅捷通T+存在命令执行漏洞

4.Apache HugeGraph-Server命令执行漏洞

漏洞详情

1.Apache ActiveMQ Jolokia 和 REST API 未授权访问漏洞

漏洞介绍:

Apache ActiveMQ 是基于 Java Message Service (JMS) 的开源消息中间件。

漏洞危害:

受影响版本中,由于未对 Jolokia JMX REST API 和 Message REST API 添加身份校验,未授权的攻击者可利用暴露通过 Jolokia JMX REST API 与消息代理进行交互,或者使用 Message REST API 发送和接收消息,甚至清除或删除消息队列和主题。

漏洞编号:

CVE-2024-32114

影响范围:

activemq@[6.0.0, 6.1.2)

org.apache.activemq:apache-activemq@[6.0.0, 6.1.2)

修复方案:

将组件 org.apache.activemq:apache-activemq 升级至 6.1.2 及以上版本

将组件 activemq 升级至 6.1.2 及以上版本

来源:OSCS

2.FFmpeg < n7.0 堆溢出漏洞

漏洞介绍:

FFmpeg 是开源的多媒体框架,支持音频和视频的录制、转换以及流处理,stereowiden filter是其中的音频过滤器,用于增强立体声音轨的空间感。

漏洞危害:

受影响版本中,由于 libavfilter/af_stereowiden.c 实现中未对 StereoWidenContext 指针变量长度为0的情况进行校验导致出现堆溢出漏洞,当使用 stereowiden filter 处理攻击者可控的音频文件时可能导致程序崩溃或远程代码执行。

影响范围:

ffmpeg@(-∞, n7.0)

修复方案:

及时测试并升级到最新版本或升级版本

来源:OSCS

3.畅捷通T+存在命令执行漏洞

漏洞介绍:

畅捷通T+是一款新型互联网企业管理软件。

漏洞危害:

畅捷通T+存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

影响范围:

畅捷通信息技术股份有限公司 畅捷通T+

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.Apache HugeGraph-Server命令执行漏洞

漏洞介绍:

Apache HugeGraph是美国阿帕奇(Apache)基金会的一个速度快、可扩展性强的图形数据库。

漏洞危害:

Apache HugeGraph-Server存在命令执行漏洞,攻击者可利用该漏洞在系统上执行任意命令。

漏洞编号:

CVE-2024-27348

影响范围:

Apache HugeGraph-Server >=1.0.0,<1.3.0

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzI0NzEwOTM0MA==&mid=2652502907&idx=1&sn=fea01b8dfc3f1b952dd084b6a0555372&chksm=f25858c8c52fd1de1a1863e4c1a86c6ad7bab9a3eac19e3b3a5f0685ff6ec423d35df94f6cf1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh