大数跨境
首页
>
“关键漏洞目录”新增3个漏洞(2024年6月13日)
>
0
0

“关键漏洞目录”新增3个漏洞(2024年6月13日)

“关键漏洞目录”新增3个漏洞(2024年6月13日) 关键漏洞目录
2024-06-14
0
导读:摄星科技“关键漏洞目录”新增3个漏洞,关键漏洞目录漏洞总数增加到1121个。

2024年6月13日摄星科技“关键漏洞目录”新增3个漏洞,包括Google Android Pixel和Microsoft Windows Error Reporting Service权限提升漏洞。关键漏洞目录漏洞总数增加到1121个。

01
Progress Software Telerik Report Server身份验证绕过漏洞
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.1向量AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS v3.1评分:9.8

漏洞级别:超危



 漏洞描述 


在IIS上Telerik Report Server版本2024 Q1(10.0.24.305)或更早版本中,可能允许远程攻击者绕过安全限制,这是由Register方法实现中的缺陷引起的。通过发送特制请求,攻击者可利用此漏洞绕过系统上的身份验证。请查看Report Server的用户列表,查找尚未在{host}/Users/Index中添加的新本地用户。



 影响产品 


Progress Software Corporation » Telerik Report Server » 从 (>=) 1.0.0 到 (<) 10.1.24.514 的所有版本



 修复建议 


更新到Report Server 2024 Q2(10.1.24.514)或更高版本,参考链接::

https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358

https://docs.telerik.com/report-server/implementer-guide/setup/upgrade


02
Microsoft Windows Error Reporting Service权限提升漏洞
已被添加到CISA KEV、关键漏洞目录‍‍‍‍‍‍‍‍‍‍

CVSS v3.1向量AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

CVSS v3.1评分:7.8
漏洞级别:高危


 漏洞描述 


Microsoft Windows可能允许经过身份验证的本地攻击者在系统上获得提升的权限,这是由错误报告服务中的缺陷引起的。通过执行特别构建的程序,经过身份验证的攻击者可以利用此漏洞获取SYSTEM权限。



 影响产品 


Microsoft » Windows 10 1607 » 从 (>=) 10.0.0 到 (<) 10.0.14393.6796 的所有版本

Microsoft » Windows 10 1809 » 从 (>=) 10.0.0 到 (<) 10.0.17763.5576 的所有版本

Microsoft » Windows 10 1507 » 从 (>=) 10.0.0 到 (<) 10.0.10240.20526 的所有版本

Microsoft » Windows 11 21h2 » 从 (>=) 10.0.0 到 (<) 10.0.22000.2836 的所有版本

Microsoft » Windows 10 21h2 » 从 (>=) 10.0.0 到 (<) 10.0.19044.4170 的所有版本

Microsoft » Windows Server 2022 » 从 (>=) 10.0.0 到 (<) 10.0.20348.2340 的所有版本

Microsoft » Windows 11 22h2 » 从 (>=) 10.0.0 到 (<) 10.0.22621.3296 的所有版本

Microsoft » Windows 10 22h2 » 从 (>=) 10.0.0 到 (<) 10.0.19045.4170 的所有版本

Microsoft » Windows 11 23h2 » 从 (>=) 10.0.0 到 (<) 10.0.22631.3296 的所有版本

Microsoft » Windows Server 2019 » 从 (>=) 10.0.0 到 (<) 10.0.17763.5576 的所有版本

Microsoft » Windows Server 2016 » 从 (>=) 10.0.0 到 (<) 10.0.14393.6796 的所有版本

Microsoft » Windows Server 23h2 » 从 (>=) 10.0.0 到 (<) 10.0.25398.763 的所有版本

Microsoft » Windows Server 2012 R2 » 从 (>=) 6.3.0 到 (<) 6.3.9600.21871 的所有版本



 修复建议 


使用Microsoft自动更新为您的系统应用相应的修补程序,或使用Microsoft安全更新指南搜索可用的修补程序。查看参考资料

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26169


03
Google Android Pixel权限提升漏洞
‍‍

已被添加到CISA KEV、关键漏洞目录

CVSS v3.0向量AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS v3.0评分:7.8‍‍‍

漏洞级别:高危



 漏洞描述 


Google Android可能允许经过本地身份验证的攻击者在系统上获得提升的权限,这是由Pixel固件中的错误引起的。通过执行特制应用程序,攻击者可利用此漏洞在系统上获取提升的权限。



 影响产品 


Google » Android » Android kernel



 修复建议 


有关修补程序、升级或建议的解决方法信息,请参阅Android Open Source Project。参考链接:

https://source.android.com/docs/security/bulletin/pixel/2024-06-01


服务和支持

“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。

企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。

【声明】内容源于网络
0
0
关键漏洞目录
北京摄星科技有限公司“关键漏洞目录”更新发布信息
内容 88
粉丝 0
关键漏洞目录 北京摄星科技有限公司“关键漏洞目录”更新发布信息
总阅读0
粉丝0
内容88