Apache CloudStack请求来源验证绕过漏洞

Apache CloudStack 是一个开源的云计算管理平台，允许用户创建、管理和部署大规模虚拟化基础设施。 在受影响的版本中，系统未能有效验证请求的来源，导致攻击者能够诱导已认证用户提交恶意的CSRF请求。这种攻击方式可能导致用户账户被接管、服务中断、敏感数据泄露等安全隐患。 修复版本中，通过新增cookiePathRewrite参数确保cookie在正确的路径下可用，以修复漏洞。

Apache Solr 认证绕过漏洞（CVE-2024-45216）

2024年10月，Apache Solr 官方披露 CVE\-2024\-45216 Apache Solr 认证绕过漏洞。攻击者可构造恶意请求利用 PKIAuthenticationPlugin 造成权限绕过，从而可在未认证的情况下调用。官方已发布安全更新，建议升级至最新版本。

Ivanti Connect Secure 后台CRLF注入漏洞(CVE-2024-37404)

Ivanti Connect Secure 22.7R2.1 和 22.7R2.2 之前的版本以及 Ivanti Policy Secure 22.7R1.1 之前的版本包含 CRLF 注入漏洞，经过身份验证的管理员可以利用该漏洞以root特权执行任意代码。

Python Reportlab 代码注入漏洞(CVE-2023-33733)

ReportLab v3.6.12允许攻击者通过提供精心制作的PDF文件来执行任意代码。

Ivanti CSA命令执行漏洞(CVE-2024-9380)

在Ivanti CSA的管理员Web控制台中存在一个操作系统命令注入漏洞，版本5.0.2之前的版本允许具有管理员权限的远程认证攻击者获得远程代码执行。