根据国家信息安全漏洞库(CNNVD)统计,本周(2024.04.22~2024.04.28)CNNVD接报漏洞239个,其中信息技术产品漏洞(通用型漏洞)218个,网络信息系统漏洞(事件型漏洞)21个;CNNVD收录漏洞通报101份,其中华云安报送2份。
本周重点关注漏洞包括:CVE-2024-27348 Apache HugeGraph 远程命令执行(RCE)漏洞、CVE-2024-27347 Apache HugeGraph 请求伪造(SSRF)漏洞、CVE-2024-32660 FreeRDP 安全漏洞、CVE-2024-2434 GitLab CE/EE 路径遍历漏洞、CVE-2024-4040 CrushFTP 代码注入漏洞、CVE-2024-22391 Grassroot DICOM 缓冲区错误漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-27348 Apache HugeGraph 远程命令执行(RCE)漏洞
威胁等级:高危
漏洞描述:
2024年04月22日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache HugeGraph 1.0.0至1.3.0之前版本存在远程命令执行(RCE)漏洞。Apache HugeGraph 是 Apache 软件基金会开发的高性能分布式图形数据库,主要特点是分布式架构、灵活的图数据模型、高效查询语言、易用管理界面和严格安全性等。攻击者可利用该漏洞执行未授权的命令。
情报来源:
https://lists.apache.org/thread/nx6g6htyhpgtzsocybm242781o8w5kq9
02 CVE-2024-27347 Apache HugeGraph 请求伪造(SSRF)漏洞
威胁等级:高危
漏洞描述:
2024年04月22日,华云安思境安全团队发现 Apache 官方发布了安全通告,披露了 Apache HugeGraph 1.0.0 至1.3.0 之前版本存在请求伪造(SSRF)漏洞。Apache HugeGraph 是 Apache 基金会推出的一款高性能、高度可扩展的图形数据库,专门设计用于高效处理和分析大规模图数据。攻击者可利用该漏洞访问内部服务,深入内网进行复杂攻击。
情报来源:
https://lists.apache.org/thread/z0v71148slfkw60hsp35pl7ddjyvg01l
03 CVE-2024-32660 FreeRDP 安全漏洞
威胁等级:高危
漏洞描述:
2024年04月23日,华云安思境安全团队监测发现 RedHat 官方发布安全通告,披露了 FreeRDP 3.5.1 版本之前存在一个安全漏洞。FreeRDP 是一款开源实现的远程桌面协议(RDP)客户端软件,允许用户连接到运行 Microsoft Windows 操作系统的远程计算机。攻击者可利用该漏洞通过发送一个不合法的请求触发客户端崩溃导致拒绝服务攻击(DoS)。
情报来源:
https://access.redhat.com/security/cve/cve-2024-32660
04 CVE-2024-2434 GitLab CE/EE 路径遍历漏洞
威胁等级:高危
漏洞描述:
2024年04月25日,华云安思境安全团队监测发现 Redhat 官方发布安全通告,披露了 GitLab CE/EE 16.9.6之前所有版本、16.10版本至16.10.4版本、16.11版本至16.11.1版本存在路径遍历漏洞。GitLab Enterprise Edition(EE)和GitLab Community Edition(CE)是 GitLab 公司提供的软件开发工具,其中EE是包含额外高级功能和企业支持的企业版,而CE是免费开源的社区版。攻击者可利用该漏洞进行未授权访问,读取敏感文件执行拒绝服务攻击。
情报来源:
https://access.redhat.com/security/cve/cve-2024-2434
05 CVE-2024-4040 CrushFTP 代码注入漏洞
威胁等级:高危
漏洞描述:
2024年04月25日,华云安思境安全团队监测发现 CrushFTP 官方发布安全更新,披露了 CrushFTP 10.7.1 和 11.1.0 之前版本存在代码注入漏洞。CrushFTP 是一款多功能的文件传输服务器软件,支持多种协议、提供用户管理、安全性高、具备带宽控制和活动监控功能,并拥有跨平台特性,适用于企业和个人用户安全高效地传输文件。攻击者可利用该漏洞可从 VFS 沙箱之外的文件系统读取文件。
情报来源:
https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update
06 CVE-2024-22391 Grassroot DICOM 缓冲区错误漏洞
威胁等级:高危
漏洞描述:
2024年04月28日,华云安思境安全团队监测发现 Sourceforge 官方发布更新,披露了 Grassroot DICOM 3.0.23 版本存在缓冲区错误漏洞。Grassroot DICOM 是一套用于处理医学数字成像和通信(DICOM)文件的工具,用于存储和传输医疗影像数据,如X射线、CT扫描、MRI扫描等。攻击者可利用该漏洞执行任意代码窃取数据。
情报来源:
https://sourceforge.net/projects/gdcm/
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
