<p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1104%2F56607b94j00smeog10003d000u0008dm.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1104%2Fefa11c14j00smeog1000vd000p000anm.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p id="354ES7G4">漏洞速览</p><p>■Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)■CyberPanel upgrademysqlstatus 远程命令执行漏洞<br/></p><p id="354ES7G7">漏洞详情</p><p id="354ES7G9"><strong>1.</strong><strong><strong>Spring Security 静态资源权限绕过漏洞(CVE-2024-38821)</strong></strong></p><p><strong>影响组件:</strong>Spring Security 是一个功能强大且高度可定制的 Java 安全框架,用于保护基于 Spring 的应用程序。它是 Spring 生态系统的一部分,提供了全面的安全服务,包括认证、授权、防止常见的安全攻击等。<br/><strong>漏洞危害:</strong>Spring WebFlux应用程序在静态资源上使用Spring Security授权规则时,由于解析差异可能导致权限绕过,未经授权的攻击者可以通过此漏洞绕过原本的身份认证机制,从而未授权访问这些资源,造成敏感数据泄露等后果。目前该漏洞技术细节已在互联网上公开,<strong>建议客户尽快做好自查及防护。</strong><strong><br/></strong><strong>影响范围:</strong>5.7.0 <= Spring Security <= 5.7.125.8.0 <= Spring Security <= 5.8.146.0.0 <= Spring Security <= 6.0.126.1.0 <= Spring Security <= 6.1.106.2.0 <= Spring Security <= 6.2.66.3.0 <= Spring Security <= 6.3.3较旧的、不受支持的版本也受到影响。<strong>修复方案:</strong>目前官方已发布安全更新,请及时升级至最新版本:Spring Security 5.7.* >= 5.7.13(仅限企业支持)Spring Security 5.8.* >= 5.8.15(仅限企业支持)Spring Security 6.0.* >= 6.0.13(仅限企业支持)Spring Security 6.1.* >= 6.1.11(仅限企业支持)Spring Security 6.2.* >= 6.2.7Spring Security 6.3.* >= 6.3.4<br/></p><p id="354ES7GA"><strong>2.</strong><strong><strong>CyberPanel upgrademysqlstatus 远程命令执行漏洞</strong></strong></p><p><strong>影响组件:</strong>CyberPanel是一个开源的Web控制面板,它提供了一个用户友好的界面,用于管理网站、电子邮件、数据库、FTP账户等。CyberPanel旨在简化网站管理任务,使非技术用户也能轻松管理自己的在线资源。<br/><strong>漏洞危害:</strong>该漏洞源于upgrademysqlstatus接口未做身份验证和参数过滤,未授权的攻击者可以通过此接口执行任意命令获取服务器权限,从而造成数据泄露、服务器被接管等严重的后果。目前该漏洞技术细节与EXP已在互联网上公开,<strong>鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护</strong><br/><strong>影响范围:</strong>CyberPanel v2.3.5CyberPanel v2.3.6<strong>修复方案:</strong>目前官方已有可更新版本,建议受影响用户升级至最新版本:CyberPanel >= v2.3.7官方下载地址:https://github.com/usmannasir/cyberpanel/tree/v2.3.7<br/>以上内容均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,易安联以及文章作者不承担任何责任。<br/></p><p id="354ES7GB">易安联玄影实验室</p><p id="354ES7GD">易安联玄影实验室,是易安联为落实公司发展战略,促进网络空间安全生态建设,孵化下一代安全能力,进行高级别的攻防对抗研究而组建的专业性安全实验室。推出的威胁情报和天织DNS威胁分析平台,可以为用户提供高效的威胁防护能力,帮助用户更好地应对各类网络威胁。</p><p id="354ES7GF"><strong>关于易安联</strong><br/></p><p id="354ES7GG">国家级专精特新小巨人企业——江苏易安联网络技术有限公司(www.enlink.top,简称易安联)是专业从事网络信息安全产品研发与销售的高新技术企业,是国内领先的“零信任”安全产品及解决方案提供商,公司总部位于南京,在北京、深圳、珠海、杭州、成都、合肥、济南、西安等地设立分支机构,公司致力于成为国内零信任安全领导者!</p><p class="f_center"><img src="https://nimg.ws.126.net/?url=http%3A%2F%2Fdingyue.ws.126.net%2F2024%2F1104%2F28b58096j00smeog1002cd000u000ppm.jpg&thumbnail=660x&quality=80&type=jpg"/><br/></p><p id="354ES7GK">易安联专注零信任安全,先后发布EnSDP(零信任安界防护平台)、EnBox(零信任安全工作空间)、EnCASB(零信任云应用安全接入平台)、EnAppGate(统一资源发布系统)、EnIAM(零信任身份管理平台)、EnDTA(天织·DTA威胁分析系统)、EnSASE(安全访问服务平台)、Linkup one(零信任VPN接入系统)、天识·网站云监控平台等多款产品及解决方案,推出ZTNA零信任网络架构解决方案和EnSASE安全访问服务边缘解决方案并提供包括安全运维、实战攻防、应急演练等安全服务。公司目前客户已超千家,涵盖教育、金融、电力、互联网、运营商等行业。</p><p id="354ES7GL">https://mp.weixin..com/s/4cz6nL5P_ZOmnu-8Ki-DUQ<br/></p> 讯享网
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/174572.html