雷神众测漏洞周报2024.09.02-2024.09.08

发布于 作者:

雷神众测漏洞周报2024.09.02-2024.09.08

原创 雷神众测 雷神众测 2024-09-09 15:33

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Apache OFBiz<18.12.16 远程代码执行漏洞

2.帆软软件有限公司多个产品存在命令执行漏洞

3.浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞

4.Mozilla Firefox代码执行漏洞

漏洞详情

1.Apache OFBiz<18.12.16 远程代码执行漏洞

漏洞介绍:

Apache OFBiz 是开源企业资源规划(ERP)系统和电子商务框架。

漏洞危害:

受影响版本中,由于 XmlDsDump 模块未对用户身份进行验证,未授权的攻击者可通过 webtools/control/forgotPassword/viewdatafile 接口上传 webshell,进而远程执行任意代码。

漏洞编号:

CVE-2024-45195

影响范围:

Apache OFBiz<18.12.16

修复方案:

及时测试并升级到最新版本或升级版本

来源:
OSCS

2.帆软软件有限公司多个产品存在命令执行漏洞

漏洞介绍:

帆软软件有限
公司是中国
专业的大数据BI和分析平台提供商。

漏洞危害:

受影响版本中,由于 HttpTaskDefinitionParser 类未对用户可控的 yaml 文件有效过滤,当解析攻击者构造的恶意配置文件(如执行Kubernetes Job)时会造成SnakeYaml反序列化漏洞,攻击者可利用该漏洞远程执行任意代码。

影响范围:

帆软软件有限公司 FineReport 
v10

帆软软件有限公司 FineReport V11

帆软软件有限公司 FineBI商业智能 <=6.1.0.0

帆软软件有限公司 FineDataLink <=4.1.10.3

修复方案:

及时测试并升级到最新版本或升级版本

来源:
CNVD

3.浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞

漏洞介绍:

浙江大华技术股份有限公司是以视频为核心的智慧物联解决方案供应商和运营服务商。

漏洞危害:

浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞,远程攻击者可利用该漏洞上传任意文件,获取服务器权限。

影响范围:

浙江大华技术股份有限公司 智慧园区综合管理平台

修复方案:

及时测试并升级到最新版本或升级版本

来源:
CNVD

4.Mozilla Firefox代码执行漏洞

漏洞介绍:

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

漏洞危害:

Mozilla Firefox存在代码执行漏洞,该漏洞源于存在内存安全错误。攻击者可利用该漏洞在系统上执行任意代码或造成拒绝服务。

漏洞编号:

CVE-2024-3865

影响范围:

Mozilla Firefox <125

修复方案:

及时测试并升级到最新版本或升级版本

来源:
CNVD

专注渗透测试技术

全球最新网络攻击技术

END