一、深信服运维安全管理系统 portal_login 远程命令执行风险
深信服运维安全管理系统(堡垒机 OSM)是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的运维安全审计产品。
1. 风险内容
由于系统对用户输入校验不严格,攻击者可通过拼接构造恶意命令,造成远程命令执行漏洞。
2. 影响范围
3. 修复建议
联系信息中心获取版本更新链接。
二、Google Chrome V8 类型混淆风险
Chrome 是由谷歌公司开发的一款免费网页浏览器,基于开源项目 Chromium 构建,广泛应用于个人、企业和开发者群体。
1. 风险内容
该漏洞源于 V8 引擎对 JavaScript 对象类型的错误处理,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,可导致类型混淆实现远程代码执行,进而完全控制用户设备。
2. 影响范围
Google Chrome(Windows/Mac) < 142.0.7444.175/.176
Google Chrome(Linux) < 142.0.7444.175
3. 修复建议
在谷歌浏览器查看右上角的“更多”图标,选择帮助 -> 星空体育平台官方网站 Google Chrome 进行更新,如若不行请联系信息中心获取版本更新链接。
三、AstrBot 远程代码执行风险
AstrBot 是 AstrBotDevs 公司开发的一款开源大型语言模型聊天机器人及开发框架,广泛应用于企业和个人构建自定义 AI 助手场景。
1. 风险内容
该漏洞源于 AstrBot 使用了固定的 JWT 签名密钥,攻击者可利用该密钥伪造任意有效的 JWT 认证令牌,完全绕过身份验证机制。成功绕过认证后,攻击者可访问插件管理接口,通过上传恶意的 Python 插件文件实现远程代码执行。
2. 影响范围
AstrBot < 3.5.18
3. 修复建议
联系信息中心获取版本更新链接。
