根据国家信息安全漏洞库(CNNVD)统计,本周(2024.03.04~2024.03.10)CNNVD接报漏洞252个,其中信息技术产品漏洞(通用型漏洞)206个,网络信息系统漏洞(事件型漏洞)46个;CNNVD收录漏洞通报101份。
本周重点关注漏洞包括:CVE-2024-23328 DataEase 任意文件读取漏洞、CVE-2024-22252 VMware 多个产品 释放后使用漏洞、CVE-2024-27198 JetBrains TeamCity 身份验证绕过漏洞、CVE-2024-26580 Apache InLong 反序列化漏洞、CVE-2024-0199 GitLab 授权绕过漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-23328 DataEase 任意文件读取漏洞
威胁等级:超危
漏洞描述:
2024年03月04日,华云安思境安全团队监测发现 DataEase 官方发布安全通告,披露了 DataEase < 1.18.15 版本存在任意文件读取漏洞。DataEase 是一款出色的开源数据可视化分析工具,它能够帮助用户快速分析数据并洞察业务趋势,实现业务的改进与优化。攻击者可利用该漏洞读取任意文件。
情报来源:
https://github.com/dataease/dataease/security/advisories/GHSA-8x8q-p622-jf25
02 CVE-2024-22252 VMware 多个产品 释放后使用漏洞
威胁等级:超危
漏洞描述:
2024年03月05日,华云安思境安全团队监测发现 VMware 官方发布安全通告,披露了 ESXi 8.0、ESXi 7.0、Workstation 17.x、Fusion 13.x(MacOS平台)、Cloud Foundation (ESXi) 5.x/4.x 版本存在释放后使用漏洞。VMware是一家提供虚拟化解决方案的软件公司,它提供了多个虚拟化产品,其中包括VMware ESXi虚拟化操作系统、VMware Workstation、VMware vSphere™虚拟化平台,以及各种管理和监控工具等。攻击者可以利用该漏洞执行恶意代码。
情报来源:
https://www.vmware.com/security/advisories/VMSA-2024-0006.html
03 CVE-2024-27198 JetBrains TeamCity 身份验证绕过漏洞
威胁等级:超危
漏洞描述:
2024年03月5日,华云安思境安全团队监测发现 JetBrains 官方发布安全通告,披露了 JetBrains TeamCity(On-Premises)< 2023.11.4 版本存在身份验证绕过漏洞。TeamCity 是由JetBrains公司开发的一款卓越的持续集成(Continuous Integration,简称CI)工具。它不仅提供了服务器端的功能,还配备了客户端组件,以支持完整的持续集成流程,该产品可以帮助团队自动化构建、测试和部署软件,从而确保代码质量、减少缺陷并提高开发效率。攻击者可以利用该漏洞窃取敏感信息。
情报来源:
https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now
04 CVE-2024-26580 Apache InLong 反序列化漏洞
威胁等级:高危
漏洞描述:
2024年03月07日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache InLong 1.8.0 - 1.10.0 版本存在反序列化漏洞。Apache InLong是一个集数据接入、同步和订阅于一体的全功能海量数据集成框架,具备自动、安全、可靠且高性能的数据传输能力,方便业务快速构建流式数据分析、建模与应用。攻击者可以利用该漏洞构造特定Payload读取任意文件。
情报来源:
https://lists.apache.org/thread/xvomf66l58x4dmoyzojflvx52gkzcdmk
05 CVE-2024-0199 GitLab 授权绕过漏洞
威胁等级:高危
漏洞描述:
2024年03月07日,华云安思境安全团队监测发现 GitLab 官方发布安全更新,披露了 16.9.2、16.8.4、16.7.7 GitLab Community Edition (CE) 和 Enterprise Edition (EE) 版本存在授权绕过漏洞。GitLab 是一个完整的端到端的软件开发平台,能够为软件开发团队提供了一系列的功能和工具,涵盖了软件开发的全流程。攻击者可以利用该漏洞在未授权的情况下执行恶意代码。
情报来源:
https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released/
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。