摘要
以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。
雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。
目录
1.Apache ZooKeeper Admin Server 身份验证绕过漏洞
2.RabbitMQ HTTP API 权限验证绕过漏洞
3.Microsoft Excel远程代码执行漏洞
4.Microsoft Office远程代码执行漏洞
漏洞详情
1.Apache ZooKeeper Admin Server 身份验证绕过漏洞
漏洞介绍:
Apache ZooKeeper 是开源的分布式应用程序协调服务,IPAuthenticationProvider 是其身份验证提供器,用于基于客户端 IP 地址进行身份验证。
漏洞危害:
受影响版本的 ZooKeeper Admin Server 使用 IPAuthenticationProvider 进行身份验证,由于其使用由代理服务器添加的 HTTP 请求头 X-Forwarded-For,攻击者可通过伪造 X-Forwarded-For 头中的 IP 地址,通过 Admin Server 的校验,使用特权命令。
漏洞编号:
CVE-2024-51504
影响范围:
3.9.0 <= org.apache.zookeeper:zookeeper <3.9.3
3.9.0 <= zookeeper <=3.9.3
修复方案:
及时测试并升级到最新版本或升级版本
来源:OSCS
2.RabbitMQ HTTP API 权限验证绕过漏洞
漏洞介绍:
RabbitMQ 是一个开源的消息代理和队列管理工具,用于分布式系统中的消息传递。
漏洞危害:
受影响版本中,RabbitMQ 的 HTTP API 在执行队列删除操作时,未充分验证用户的 configure 权限,拥有 HTTP API 访问凭据但不具有队列删除权限的攻击者可绕过权限限制,通过DELETE /api/queues/{vhost}/{name} 请求删除其不具备删除权限的队列。
漏洞编号:
CVE-2024-51988
影响范围:
3.12.7 <= rabbitmq < 3.12.11
修复方案:
及时测试并升级到最新版本或升级版本
来源:OSCS
3.Microsoft Excel远程代码执行漏洞
漏洞介绍:
Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。
漏洞危害:
Microsoft Excel存在远程代码执行漏洞。攻击者可利用该漏洞在系统上执行任意代码。
漏洞编号:
CVE-2024-43504
影响范围:
Microsoft Excel 2016
Microsoft 365 Apps for Enterprise
Microsoft Office LTSC 2021
Microsoft Office 2019
Microsoft Microsoft Office LTSC 2024
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
4.Microsoft Office远程代码执行漏洞
漏洞介绍:
Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。
漏洞危害:
Microsoft Office存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。
漏洞编号:
CVE-2024-43576
影响范围:
Microsoft 365 Apps for Enterprise
Microsoft Microsoft Office LTSC 2024
修复方案:
及时测试并升级到最新版本或升级版本
来源:CNVD
专注渗透测试技术
全球最新网络攻击技术
END
如有侵权请联系:admin#unsafe.sh