2025年05月08日摄星科技“关键漏洞目录”新增4个漏洞,包括Langflow代码注入漏洞和FreeType代码执行漏洞。关键漏洞目录漏洞总数增加到1341个。
已被添加到CISA KEV、关键漏洞目录
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞级别:超危
Langflow是Langflow开源的一个用于构建多代理和RAG应用程序的可视化框架。
Langflow 1.3.0之前版本容易受到 /api/v1/validate/code端点中的代码注入漏洞影响。未经身份验证的远程攻击者可以发送精心编制的HTTP请求来执行任意代码。
https://github.com/langflow-ai/langflow/releases/tag/1.3.0
CVSS v3.1向量:AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
FreeType 2.13.0及以下版本中存在越界写入漏洞(较新的FreeType版本不受影响),当尝试解析与TrueType GX和可变字体文件相关的字体子字形结构时会触发该漏洞。漏洞代码将一个有符号短整型值赋值给一个无符号长整型变量,然后加上一个静态值,导致其回绕并分配过小的堆缓冲区。随后代码会在此缓冲区边界外写入多达6个有符号长整型整数。可能会导致任意代码执行。
FreeType是一个被不同产品使用的通用开源组件、第三方库或协议。已知Amazon Linux 2、Debian stable、Devuan、RHEL、CentOS Stream、Alma Linux、GNU Guix、Mageia、OpenMandriva、openSUSE Leap、Slackware、Ubuntu 22.04、Android等系统受到此漏洞影响。请与具体供应商联系以获取有关补丁信息。
https://gitlab.freedesktop.org/freetype/freetype/-/commit/ef636696524b081f1b8819eb0c6a0b932d35757d
https://freetype.org
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
GeoVision EOL是中国GeoVision公司的一系列监控设备。
某些EOL GeoVision设备存在操作系统命令注入漏洞。未经身份验证的远程攻击者可以利用此漏洞在设备上注入和执行任意系统命令。
Gv-vs12 Firmware
受影响的设备不再得到维护。建议更换它们。参考链接:
https://dlcdn.geovision.com.tw/TechNotice/CyberSecurity/Security_Advisory_IP_Device_2024-11.pdf
CVSS v3.1向量:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
多个EOL GeoVision设备可能允许远程攻击者在系统上执行任意命令,这是由于未能正确过滤特定功能的用户输入所致。通过发送特制请求,攻击者可利用此漏洞在系统上注入和执行任意命令。
Gv-dsp Lpr V2
Gv-bx1500
Gv-cb220
Gv-ebl1100
Gv-efd1100
Gv-fd2410
Gv-fd3400
Gv-fd3401
Gv-fe420
Gv-vs14
Gv-vs03
Gv-vs2410
Gv-vs04a
Gv-vs04h
Gv-lx 4 V2
Gv-lx 4 V3
Gv-vs28xx
Gv-vs216xx
受影响的设备厂家不再进行维护,并已达到其使用寿命(EOL)。建议用户替换这些设备。参考链接:
https://dlcdn.geovision.com.tw/TechNotice/CyberSecurity/Security_Advisory_IP_Device_2024-11.pdf
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过玄猫定制化情报SaaS平台(xm.vulinsight.com.cn)、摄星漏洞管控平台获取服务和支持。