2024年7月17日摄星科技“关键漏洞目录”新增3个漏洞,包括Adobe Commerce和Magento Open Source XML外部实体注入漏洞。关键漏洞目录漏洞总数增加到1132个。
已被添加到CISA KEV、关键漏洞目录
CVSS v3.1评分:9.8
漏洞级别:超危
Adobe Commerce和 Magento Open Source可允许远程攻击者在系统上执行任意代码,这是由于对XML外部实体(XXE)引用的限制不当所致。通过使用特制的XML内容,远程攻击者可利用此漏洞在系统上执行任意代码或造成拒绝服务。
Adobe » Commerce »(已知当前产品共有46个发布版本受影响)
Adobe » Commerce Webhooks » 从 (>=) 1.2.0 到 (<=) 1.4.0 的所有版本
Adobe » Magento »(已知当前产品共有24个发布版本受影响)
PACKAGIST » magento/community-edition »(已知当前产品共有146个发布版本受影响)
COMPOSER » magento/community-edition » (<) 2.4.4-p9 的所有版本
COMPOSER » magento/community-edition » 从 (>=) 2.4.5 到 (<) 2.4.5-p8 的所有版本
COMPOSER » magento/community-edition » 从 (>=) 2.4.6 到 (<) 2.4.6-p6 的所有版本
COMPOSER » magento/community-edition » 从 (>=) 2.4.7 到 (<) 2.4.7-p1 的所有版本
有关修补程序、升级或建议的解决方法信息,请参阅Adobe Security Bulletin APSB24-40。参考链接:
https://helpx.adobe.com/security/products/magento/apsb24-40.html
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
SolarWinds Serv-U可允许远程攻击者遍历系统上的目录。通过发送包含“点点”序列(/../),攻击者可以利用此漏洞读取主机上的敏感文件。
Solarwinds » Serv-u »(已知当前产品共有2个发布版本受影响)
Solarwinds » Serv-u » (<) 15.4.2 的所有版本 (已知当前产品共有33个发布版本受影响)
升级到Serv-U的最新版本(15.4.2 HF 2或更高版本),可从SolarWinds网站获得。参考链接:
https://www.solarwinds.com/trust-center/security-advisories/CVE-2024-28995
已被添加到CISA KEV、关键漏洞目录
CVSS v3.1评分:6.5
漏洞级别:中危
VMware vCenter Server和Cloud Foundation可能允许经过身份验证的本地攻击者获取由文件权限不当引起的敏感信息。通过发送特制的请求,攻击者可以利用此漏洞获取敏感信息,并利用此信息对受影响的系统发起进一步攻击。
Vmware » Cloud Foundation » 从 (>=) 3.0 到 (<) 3.11 的所有版本
Vmware » Vcenter Server »(已知当前产品共有61个发布版本受影响)
Vmware » Cloud Foundation » 3.11
有关修补程序、升级或建议的解决方法信息,请参阅VMware Security Advisory VMSA-2022-0009。参考链接:https://www.vmware.com/security/advisories/VMSA-2022-0009.html
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。