关键漏洞信息 漏洞概述 标题: HCL BigFix Compliance 受到多种安全漏洞影响 CVE ID: - CVE-2024-42212 - CVE-2024-42213 漏洞详情 CVE-2024-42212 描述: HCL BigFix Compliance 因不正确的或缺失的 SameSite 属性而受到跨站请求伪造 (CSRF) 攻击的影响,恶意站点可能诱使用户的浏览器在认证会话中发出非预期请求。 CVSS 基本分数: 5.4 CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N CVE-2024-42213 描述: HCL BigFix Compliance 因生产环境中遗留的临时文件包含而导致信息泄露,攻击者可能通过可预测的 URL 索引或检索这些文件,或利用配置错误的权限。 CVSS 基本分数: 5.3 CVSS 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 影响的产品和版本 受影响产品: HCL BigFix Compliance v2.0.12 修复措施 升级至版本 2.0.13 或更高版本,具体步骤如下: - 在 BigFix 控制台中,展开 Sites 节点下的 SCM Reporting 节点。 - 点击 Fixlets 和 Tasks 节点,右侧将显示 Fixlets 和 Tasks 面板。 - 在 Fixlets 和 Tasks 面板中找到并应用 BigFix Compliance Server 2.0 - Upgrade。