目录
2.Apache OFBiz授权不当致代码执行漏洞CVE-2024-38856
4.JumpServer后台文件写入漏洞CVE-2024-40629
5.JumpServer后台文件读取漏洞CVE-2024-40628
6.Rejetto HTTP文件服务器模板注入漏洞CVE-2024-23692
本文仅用于技术学习和讨论。请勿使用本文所提供的内容及相关技术从事非法活动,由于传播、利用此文所提供的内容或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果均与文章作者及本账号无关。
前言:
漏洞是基于部分安全厂家、软件厂商的公众号或官方网站,以及一些非官方渠道等途径整理的HW安全漏洞情报,情报里附含漏洞详情和解决方案。护网期间我将持续更新分享,希望可以在护网期间帮助到大家
漏洞:
1.用友NC Cloud系统mob接口未授权访问漏洞
安装官方补丁:
https://security.yonyou.com/#/noticeInfo?id=493
2.Apache OFBiz授权不当致代码执行漏洞CVE-2024-38856
升级版本:升级到Apache OFBiz 18.12.15
https://ofbiz.apache.org/download.html
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1093?type=risk
3.Roundcube Webmail 多个XSS高危漏洞
升级版本:升级至最新版本https://github.com/roundcube/roundcubemail/releases
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1096?type=risk
4.JumpServer后台文件写入漏洞CVE-2024-40629
升级版本:升级版本到JumpServer4.0.0
https://github.com/jumpserver/jumpserver/releases/tag/v4.0.0
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1077?type=risk
5.JumpServer后台文件读取漏洞CVE-2024-40628
升级版本:升级版本到JumpServer4.0.0
https://github.com/jumpserver/jumpserver/releases/tag/v4.0.0
参考链接:https://ti.qianxin.com/vulnerability/notice-detail/1077?type=risk
6.Rejetto HTTP文件服务器模板注入漏洞CVE-2024-23692
升级版本:升级至HFS 3.x版本
https://github.com/rejetto/hfs/releases
参考链接:
https://ti.qianxin.com/vulnerability/notice-detail/1060?type=risk