kkFileView 4.2.0 到 4.4.0-beta 版本中文件上传功能存在 zip 路径穿越问题，导致攻击者可以通过上传恶意的 zip 包，覆盖任意文件。kkFileView预览功能会调用 Libreoffice 将 odt 文件转换为 pdf，过程中会调用 uno.py，攻击者可通过覆盖 uno.py 文件获取所有 python 代码。

4.2.0≤ kkFileView＜ 4.4.0-beta

开启 file.upload.disable=true 参数，取消首页的上传文件，关闭演示入口。

Palo Alto Networks PAN-OS GlobalProtect 是 Palo Alto Networks 的一款防火墙产品。

4月12日，官方披露了 Palo Alto Networks GlobalProtect 命令注入漏洞，CVE编号为CVE-2024-3400。在特定 PAN-OS 版本和不同功能配置下，未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。

影响版本

PAN-OS 10.2 < 10.2.9-h1

PAN-OS 11.0 < 11.0.4-h1

PAN-OS 11.1 < 11.1.2-h3

安全版本

PAN-OS 10.2.9-h1

PAN-OS 11.0.4-h1

PAN-OS 11.1.2-h3

以及其他不受影响的版本

1、官方已对外发布安全更新补丁，建议受影响用户尽快升级。

2、利用安全组功能设置其仅对可信地址开放。

Apache Zeppelin 是一款基于 Web 可实现交互式数据分析的 Notebook 产品。

Apache Zeppelin 中 sh 解释器类型的 Notebook 可以直接执行 shell 命令。攻击者利用该特性可以创建 sh 解释器类型的 Notebook，并执行任意恶意命令。

0.10.1 ≤ Apache Zeppelin < 0.11.1

1、目前官方已有可更新版本，建议受影响用户升级，将 zeppelin 升级至 0.11.1 及以上版本；

2、禁止创建 sh interpreter 类型的 Notebook；

Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时环境，用于构建快速、可扩展的网络应用程序。

Windows 的 CreateProcess() 函数在执行批处理文件(.bat、.cmd)时，即使应用程序本身没有在命令行中指定这些文件扩展名，仍会隐式地调用 cmd.exe 进程。该风险2011年已在微软文档中提及，但仍存在多个语言实现不当。

由于 Node.js 在处理 Windows 批处理文件时，未正确转义参数。攻击者可能利用该漏洞传入恶意的命令行参数，使 child_process 模块在执行时不正确地处理参数，执行额外的系统命令。非 Windows 环境或 Windows 上其他的命令执行方式不受影响。

18.0≤node.js@ ＜18.20.2

21.0.0≤node.js@＜21.7.3

20.0.0≤ node.js@＜20.12.2

目前官方已有可更新版本，建议受影响用户升级至安全版本，包括18.20.2 及以上版本、21.7.3 及以上版本、20.12.2 及以上版本。