安全通告

未经身份验证的远程攻击者可以通过网络访问管理Web 界面，从而进行后续活动，包括修改设备配置、访问其 他管理功能以及利用 Palo Alto Networks PAN-OS 权 限提升漏洞（CVE-2024-9474)获取root访问权限。

攻击者可以通过T3或IIOP协议在无需认证的情况下远程执行代码，从而完全控制受影响的服务器。

攻击者可能通过未经身份验证和参数过滤upgrademysqlstatus接口对系统进行攻击，执行任意命令获取服务器权限。

ThinkPHP反序列化漏洞，该漏洞允许攻击者在受影响的ThinkPHP版本中执行任意代码。

具有SpringSecurity授权规则的SpringWebFlux应用程序在某些情况下可以被绕过。

成功利用漏洞后攻击者将能够查看和修改文件（例如配置文件）以获取敏感信息，并能够管理其他设备执行任意代码或命令。

攻击者可以绕过身份验证，未经授权访问ApacheSolr中的敏感数据。

攻击者可以编写恶意HTTP请求并获取目标系统上任何由Spring应用程序正在运行的进程访问的文件，从而导致信息泄露。

远程攻击者能够通过利用Animationtimelines中的释放后使用 漏洞在内容进程中实现代码执行。

攻击者可以在某些情况下以其他用户的身份利用该漏洞在GitLab的任意分支上执行管道，从而可能执行恶意代码或泄露敏感信息。

利用条件：利用此漏洞需要启用cups-browsed服务(Ubuntu Desktop环境下默认启用)，且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。

VMware vCenter Server 在 DCERPC协议实施过程中存在堆溢出漏洞，攻击者可发送特制的网络数据包来触发此漏洞从而导致 远程代码执行。

由于Apache OFBiz在从 Groovy 加载文件时对 URL的验证不足，导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求，并可能导致远程代码执行，成功利用此漏洞可能允许攻击者完全控制受影响的系统，包括访问敏感数据、执行任意命令或进行进一步的网络攻击。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

Google Chrome是由Google公司开发的一款网络浏览器。V8是由Google 开源的一个高性能JavaScript引擎，被广泛应用于各种 JavaScript 执行环境，如Chrome浏览器、Node.js等。

缓解措施： 对于 IPv6 并非必不可少的系统，禁用它可以作为临时缓解措施，直到完全应用补丁。但是，最好的做法仍然是及时部署提供的安全更新。

CVE-2024-38077是一个高危的Windows远程桌面授权服务（Remote Desktop Licensing Service, RDL）的远程代码执行漏洞，其CVSS评分为9.8分，属于严重的安全漏洞。该漏洞由安全研究人员EdwardzPeng、Lewis Lee和Ver0759发现，并在5月1日报告给微软。微软在7月的例行安全更新中已经修复了此漏洞。

下载Nacos2.3.2或2.4.0版本，这里在windows下载Nacos2.3.2进行复现，确保windows系统部署相关java和python环境。