关键漏洞信息 漏洞概述 CVE ID: CVE-2024-38754, CVE-2024-38756, CVE-2024-38759, CVE-2024-38761, CVE-2024-38763, CVE-2024-38765, CVE-2024-38767, CVE-2024-38769, CVE-2024-38771, CVE-2024-38773 受影响产品: IBM Analytics Content Hub 2.4.0.0.2, 2.4.0.0.3, 2.4.0.0.4, 2.4.0.0.5, 2.4.0.0.6, 2.4.0.0.7, 2.4.0.0.8, 2.4.0.0.9, 2.4.0.0.10, 2.4.0.0.11, 2.4.0.0.12, 2.4.0.0.13, 2.4.0.0.14, 2.4.0.0.15, 2.4.0.0.16, 2.4.0.0.17, 2.4.0.0.18, 2.4.0.0.19, 2.4.0.0.20, 2.4.0.0.21, 2.4.0.0.22, 2.4.0.0.23, 2.4.0.0.24 漏洞详情 CVE-2024-38754: - 描述: IBM Analytics Content Hub 中存在多个开源软件 (OSS) 组件,这些组件受到目录遍历漏洞的影响。 - CVSS 基本分数: 5.3 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N] CVE-2024-38756: - 描述: IBM Analytics Content Hub 可能允许远程攻击者通过不验证上传文件的类型来利用该漏洞,并在系统中加载恶意配置流,从而进一步执行攻击。 - CVSS 基本分数: 7.5 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N] CVE-434: - 描述: 未指定类型的文件具有危险类型。 - CVSS 基本分数: 4.3 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N] CVE-2024-38761: - 描述: IBM Analytics Content Hub 可能允许远程攻击者获取应用程序框架的信息,这可用于重新组织以从控制台技术错误消息中提取信息,用于未来的攻击。 - CVSS 基本分数: 4.3 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N] CVE-2024-38763: - 描述: IBM Analytics Content Hub 存在信息泄露和进一步攻击的风险,由于在应用程序中使用了不受信任的 JavaScript 源映射,可能导致攻击者读取和调试 JavaScript。 - CVSS 基本分数: 5.3 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N] CVE-2024-38765: - 描述: 时间条件竞争(TOCTOU)导致 Apache Tomcat 中出现竞态条件漏洞。当使用默认的安全设置时,攻击者可以利用此漏洞绕过安全限制参数检查,从而访问敏感数据。 - CVSS 基本分数: 9.8 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] CVE-2024-38767: - 描述: 路径等效性问题,Apache Commons Codec 中存在路径等效性问题,允许攻击者通过部分 PUT 请求将任意文件写入目标位置。 - CVSS 基本分数: 9.1 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H] CVE-2024-38769: - 描述: Apache Commons Codec 中存在输入验证问题,攻击者可以利用此漏洞获取敏感信息。 - CVSS 基本分数: 7.5 - CVSS 向量: [CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N] 影响的产品和版本 受影响产品: IBM Analytics Content Hub 2.4.0.0.2 至 2.4.0.0.24 修复措施 强烈建议应用最新的安全更新:IBM Analytics Content Hub 2.4.0.0.25