从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞识别: - CVE编号:CVE-2024-40404, CVE-2024-40408, CVE-2024-40410, CVE-2024-40407, CVE-2024-40405 - 受影响版本:Thinfinity Workspace < 7.0.2.113 - CVSS评分:9.8, 7.3, 4.7, 7.5, 8.1 - 描述: - CVE-2024-40404:允许恶意攻击者通过WebSocket连接拦截和获取用户会话。 - CVE-2024-40408:由于访问控制不足,攻击者可以绕过安全,未经授权创建配置文件并访问资源。 - CVE-2024-40410:WebDAV组件中的硬编码加密密钥可能破坏JWT令牌的完整性和机密性。 - CVE-2024-40407:允许已认证的攻击者访问软件的根路径。 - CVE-2024-40405:远程应用在多个受限制用户访问的代理之间可访问,通过修改请求数据,用户可以未经授权访问另一个代理的应用。 2. 更新建议: - 建议所有用户升级到版本v7.0.3.109或更高版本。 - 鼓励客户直接升级到Thinfinity Workspace v8.0.0.101,这是最新的发布版本。 - 版本8.0.0.101不仅包括了对已识别问题的全面修复,还引入了新的安全改进和功能,以增强整体性能和保护。 3. 获取更多信息: - 有关最新版本的更多信息,请访问Thinfinity Workspace更新页面。 - 如果需要升级的帮助,支持团队可以提供协助,确保平稳过渡到最新版本。 这些信息对于了解Thinfinity Workspace中的安全漏洞和建议的更新措施非常重要。