rce

上週Apache基金會發布Java應用框架Struts 6.4.0版，修補重大層級的遠端執行任意程式碼（RCE）漏洞CVE-2024-53677，本週資安研究機構SANS警告，他們偵測到嘗試利用這項漏洞的跡象，呼籲IT人員要儘速採取行動因應

資安業者Aqua Security針對應用程式監控工具Prometheus配置不當的情況提出警告，指出全球超過能透過網際網路存取的33萬臺主機存在風險，攻擊者有機會竊取機敏資訊、造成阻斷服務（Dos）、執行任意程式碼

D-Link傳出旗下生命週期結束（EOL）的VPN路由器存在漏洞，並表明他們將不會進行修補，呼籲用戶儘速更換設備，但除此之外，這次他們並未公布漏洞的CVE編號，僅表明是記憶體緩衝區溢位弱點

本週HPE Aruba Networking針對Wi-Fi無線基地臺設備進行修補，其中兩個被列為重大層級的漏洞CVE-2024-42509、CVE-2024-47460，有機會讓攻擊者在未通過身分驗證的情況下，遠端執行任意程式碼

資安業者Rapid7公布上週修補的ERP系統OFBiz漏洞CVE-2024-45195，並指出該漏洞能夠被用來繞過今年Apache基金會修補的3項弱點

已於4年前停止支援的D-Link無線路由器DIR-846W出現重大層級漏洞，研究人員通報此事並得到D-Link證實，但該公司表明不會處理

SolarWinds新版本存取權限稽核系統ARM（Access Rights Manager）2024.3，修補多個嚴重漏洞，包括遠端程式碼執行（RCE）、路徑走訪和身分驗證繞過等問題

繼上個月公布AI模型共享平臺Hugging Face的跨租戶攻擊弱點，資安業者Wiz近期公布開源AI模型的集合平臺Replicate的弱點，並指出一旦漏洞遭到利用，攻擊者就有機會操縱AI模型輸出的結果