UI for Apache Kafka 后台 jmx jndi 代码执行漏洞（CVE-2024-32030）

Kafka UI是Apache Kafka管理的开源Web UI。Kafka UI API允许用户通过指定网络地址和端口连接到不同的Kafka brokers。作为一个独立的功能，它还提供了通过连接到其JMX端口监视Kafka brokers性能的能力。CVE\-2024\-32030 中，由于默认情况下Kafka UI未开启认证授权，攻击者可构造恶意请求利用后台功能执行任意代码，控制服务器。官方已发布安全更新，修复该漏洞。

Zyxel NAS326 和 Zyxel NAS542 命令注入漏洞(CVE-2024-29973)

Zyxel NAS326 固件版本 V5.21\(AAZF.17\)C0 之前和 NAS542 固件版本 V5.21\(ABAG.14\)C0 之前中“setCookie”参数中的命令注入漏洞可能允许未经身份验证的攻击者通过发送精心设计的 HTTP POST 请求来执行某些操作系统 \(OS\) 命令。

电信网关配置管理 del_file.php 远程命令执行漏洞

暂无

海康威视综合安防管理平台 远程代码执行漏洞

暂无

NVIDIA Triton Inference Server 远程代码执行漏洞【POC公开】

NVIDIA Triton Inference Server是NVIDIA 发布的开源软件，用于标准化模型部署并在生产中提供快速且可扩展的 AI。 受影响版本中，Triton 服务器的日志配置接口 /v2/logging 接受设置日志文件绝对路径的 log\_file 参数，攻击者利用该参数可进行任意文件写入，导致远程代码执行。 在修复版本中，通过弃用 log\_file 参数以修复漏洞。