根据国家信息安全漏洞库(CNNVD)统计,本周(2024.04.08~2024.04.14)CNNVD接报漏洞320个,其中信息技术产品漏洞(通用型漏洞)285个,网络信息系统漏洞(事件型漏洞)35个,其中华云安报送4个;CNNVD收录漏洞通报87份,其中华云安报送2份。
本周重点关注漏洞包括:CVE-2024-20758 Adobe Commerce 输入验证错误漏洞、CVE-2024-29990 Microsoft Azure Kubernetes 机密容器特权提升漏洞、CVE-2024-24576 Rust 命令注入漏洞、CVE-2023-45590 Fortinet FortiClientLinux 远程代码执行漏洞、CVE-2024-31981 XWiki Platform 身份认证绕过漏洞、CVE-2024-31861 Apache Zeppelin 代码注入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-20758 Adobe Commerce 输入验证错误漏洞
威胁等级:超危
漏洞描述:
2024年04月09日,华云安思境安全团队监测发现 Adobe 官方发布安全通告,披露了 Adobe Commerce 2.4.6-p4、2.4.5-p6、2.4.4-p7、2.4.7-beta3 版本存在输入验证错误漏洞。Adobe Commerce 是 Adobe 公司提供的一种面向商家和品牌的全球领先的数字商务解决方案。该平台通过提供高度可定制和可扩展的电商功能,帮助企业构建和运营成功的在线商务环境。该漏洞起因是不当的输入验证机制,攻击者可利用该漏洞在当前用户环境中执行任意代码。
情报来源:
https://helpx.adobe.com/security/products/magento/apsb24-18.html
02 CVE-2024-29990 Microsoft Azure Kubernetes 机密容器特权提升漏洞
威胁等级:超危
漏洞描述:
2024年04月09日,华云安思境安全团队监测发现 Microsoft 官方发布安全通告,披露了 Microsoft Azure Kubernetes Service存在机密容器特权提升漏洞。Microsoft Azure Kubernetes 服务(AKS)是由微软公司(Microsoft)提供的完全托管的 Kubernetes 服务。这项服务通过简化 Kubernetes 集群的部署和管理,使得用户能够专注于应用程序的开发和创新。攻击者可利用该漏洞窃取凭据。
情报来源:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29990
03 CVE-2024-24576 Rust 命令注入漏洞
威胁等级:高危
漏洞描述:
2024年04月09日,华云安思境安全团队发现 Rust 官方发布了安全通告,披露了 Rust < 1.77.2 之前版本存在命令注入漏洞。Rust 是一种通用的编译型编程语言,它专注于性能、类型安全和并发性,Rust 语言支持多种编程风格,包括函数式、并发式、过程式以及面向对象的编程,为开发者提供了灵活的选择来构建各种应用程序。攻击者可利用该漏洞执行命令注入。
情报来源:
https://blog.rust-lang.org/2024/04/09/cve-2024-24576.html
04 CVE-2023-45590 Fortinet FortiClientLinux 远程代码执行漏洞
威胁等级:高危
漏洞描述:
2024年04月09日,华云安思境安全团队监测发现 Fortinet 官方发布安全通告,披露了 Fortinet FortiClientLinux 版本7.2.0、7.0.6 - 7.0.10、7.0.3 - 7.0.4中存在远程代码执行漏洞。FortiClient 提供了一套全面的安全解决方案,专注于保护用户的设备、网络和应用程序。FortiClient for Linux 版本兼容 Ubuntu、Debian、CentOS 和 Red Hat 等主要 Linux 发行版,确保了广泛的适用性。攻击者者可通过诱导 FortiClientLinux 用户访问恶意网站来触发该漏洞从而导致任意代码执行。
情报来源:
https://www.fortiguard.com/psirt/FG-IR-23-087
05 CVE-2024-31981 XWiki Platform 身份认证绕过漏洞
威胁等级:高危
漏洞描述:
2024年04月10日,华云安思境安全团队监测发现 XWiki 官方发布安全通告,披露了 XWiki Platform >= 3.0.1, < 14.10.19版本、>= 15.0-rc-1, < 15.5.4 之前版本、>= 15.6-rc-1, < 15.9 版本存在身份认证绕过漏洞。XWiki 是一个开源的协作平台,它结合了 wiki、企业社交网络和应用程序开发的功能。XWiki 提供了丰富的编辑和组织内容的工具,支持多种数据类型和结构,使得用户可以轻松创建和管理复杂的数据集合。攻击者可利用该灵洞远程执行代码。
情报来源:
https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-vxwr-wpjv-qjq7
06 CVE-2024-31861 Apache Zeppelin 代码注入漏洞
威胁等级:超危
漏洞描述:
2024年04月11日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 0.10.1 <= Apache Zeppelin < 0.11.1 版本存在代码注入漏洞。Apache Zeppelin 是一个开源的互动式数据分析和协作平台,广泛应用于数据科学、大数据和实时数据分析等领域。该平台支持多种数据源和编程语言,提供了一个基于 Web 的界面,用户可以创建和共享包含实时代码、数据可视化、Markdown 文本和 SQL 查询的文档。攻击者可以利用这个漏洞在 Zeppelin 的环境中注入恶意代码,从而可能获取敏感信息、破坏系统或者进行其他恶意操作。
情报来源:
https://lists.apache.org/thread/99clvqrht5l5r6kzjzwg2kj94boc9sfh
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
