阿帕奇软件基金会(Apache Software Foundation)发布了补丁程序,以修复影响 MINA、HugeGraph-Server 和 Traffic Control 产品的三个严重问题。 这些漏洞的 CVSS 得分为 9、9 和 10 分,即被评为严重漏洞。 其中一个漏洞的标识符为 CVE-2024-52046,影响 MINA 2.0 至 2.0.26、2.1 至 2.1.9 和 2.2 至 2.2.3 版本。 该漏洞被评为 10 分(满分为 10 分)。
Apache MINA 是一個網絡應用程式框架,為開發高性能及可擴展性網絡解決方案提供抽象層。 ObjectSerialisationDecoder 發現漏洞,原因是不安全的 Java 反序列化,可能導致遠端執行程式碼 (RCE)。 开发人员解释说,如果 IoBuffer#getObject() 方法与某些类结合使用,该漏洞就可能被利用。
该问题已在 2.0.27、2.1.10 和 2.2.4 版本中得到修复,在这些版本中,易受攻击的组件获得了更严格的默认安全设置。 不过,需要强调的是,仅升级到上述版本还不够。 另一个漏洞(CVE-2024-43441)影响 Apache HugeGraph-Server 1.0 至 1.3 版本,是一个与不正确验证逻辑有关的身份验证绕过。
Apache HugeGraph-Server 是一个图形数据库系统,可有效存储、查询和分析基于图形的数据。 1.5.0 版本已修补了身份验证绕过漏洞,现在建议 HugeGraph-Server 用户升级到该版本。 Apache Traffic Control 是一个管理和优化内容分发网络(CDN)的工具,该工具中发现了第三个漏洞。 该问题的标识符为 CVE-2024-45387,评级为 9.9(满分 10 分),这意味着它也是一个关键漏洞。 该漏洞与 SQL 注入有关,影响 Traffic Ops 版本 8.0.0-8.0.1。
该漏洞是由于 SQL 查询输入数据清理不充分造成的,它允许使用特制的 PUT 查询执行任意 SQL 命令。 本周早些时候发布的 Apache Traffic Control 8.0.2 版本修复了该漏洞。 Apache 开发人员指出,7.0.0 至 8.0.0 版本完全不受该漏洞影响。 系统管理员应尽快升级到最新版本,因为黑客通常会在节假日期间发起攻击,因为此时员工较少,事件响应时间较长。
信息来源:https://exploit.in/2024/17607/
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局