根据国家信息安全漏洞库(CNNVD)统计,本周(2024.02.26~2024.03.03)CNNVD接报漏洞377个,其中信息技术产品漏洞(通用型漏洞)291个,网络信息系统漏洞(事件型漏洞)86个;CNNVD收录漏洞通报60份。
本周重点关注漏洞包括:CVE-2024-25723 ZenML 未授权访问漏洞、CVE-2024-27905 Apache Aurora 信息泄露漏洞、CVE-2023-50379 Apache Ambari 代码注入漏洞、CVE-2024-20765 Adobe Acrobat Reader 资源管理错误漏洞、CVE-2024-25065 Apache OFBiz 目录遍历漏洞、CVE-2023-25921 IBM Security Guardium 文件上传漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-25723 ZenML 未授权访问漏洞
威胁等级:高危
漏洞描述:
2024年02月27日,华云安思境安全团队监测到 ZenML 官方发布安全通告,披露了 ZenML 0.46.7 之前版本存在未授权访问漏洞。ZenML 是一个功能强大且高度可扩展的开源 MLOps 框架,专为数据科学家和机器学习工程师打造,采用简洁而灵活的语法设计,确保与各种云服务和工具的兼容性,同时提供符合机器学习工作流需求的接口和抽象,帮助用户创建可移植的、可用于生产的机器学习管道。攻击者可利用此漏洞,实现权限升级,进而获得更高的系统访问权限。
情报来源:
https://www.zenml.io/blog/critical-security-update-for-zenml-users
02 CVE-2024-27905 Apache Aurora 信息泄露漏洞
威胁等级:高危
漏洞描述:
2024年02月27日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Aurora 0.5.0及之后版本存在信息泄露漏洞。Apache Aurora 是 Apache 的一个 Mesos 框架,专门设计用于支持长时间运行的服务和计划作业,Aurora 利用 Mesos 的集群管理功能,在共享的机器池上运行应用和服务,并确保它们的高可用性,当机器出现故障时,Aurora 能够智能地重新规划这些作业到健康的机器上,从而保证了服务的持续稳定运行。攻击者可利用该漏洞获取敏感信息。
情报来源:
https://lists.apache.org/thread/564kbv3wqdzkscmdn2bg4vlk48qymryp
03 CVE-2023-50379 Apache Ambari 代码注入漏洞
威胁等级:高危
漏洞描述:
2024年02月28日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Ambari 2.7.8之前版本存在代码注入漏洞。Apache Ambari 是一种基于 Web 的工具,它提供了一个易于使用的 Web 界面 ,是一个强大的开源的集群管理工具,可以帮助管理员轻松管理和监控 Hadoop 集群,支持Apache Hadoop 集群的供应、管理和监控。攻击者可利用该漏洞注入恶意代码来篡改正常请求,在集群主机上获取root权限,实现对系统的完全控制。
情报来源:
https://lists.apache.org/thread/jglww6h6ngxpo1r6r5fx7ff7z29lnvv8
04 CVE-2024-20765 Adobe Acrobat Reader 资源管理错误漏洞
威胁等级:高危
漏洞描述:
2024年02月29日,华云安思境安全团队监测发现 Adobe 官方发布安全通告,披露了 Adobe Acrobat Reader 20.005.30539 版本、23.008.20470 版本及之前版本存在资源管理错误漏洞。Adobe Acrobat Reader 是 Adobe 公司出品的一款 PDF 阅读器,可用于Windows、Mac、Android和iOS等操作系统,支持几乎所有类型的PDF文件,包括PDF表单和多媒体,并提供了多种工具和功能,如搜索、打印、填写表单、签署协议等。攻击者可利用该漏洞在当前用户环境中执行任意代码,从而可能获取更高的系统权限。
情报来源:
https://helpx.adobe.com/security/products/acrobat/apsb24-07.html
05 CVE-2024-25065 Apache OFBiz 目录遍历漏洞
威胁等级:高危
漏洞描述:
2024年02月29日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache OFBiz 18.12.12之前版本存在目录遍历漏洞。Apache OFBiz 是一款开源的企业资源规划系统,它整合了从供应链管理到财务管理的各个关键环节,为企业提供了一个全面、集成的解决方案,这个解决方案旨在满足企业在运营、生产、财务、人力资源和电子商务等各个领域的核心需求,帮助企业实现业务流程的高效管理。攻击者可利用该漏洞突破安全限制,访问到存储在Web根文件夹之外的文件和目录,获取到敏感数据。
情报来源:
https://ofbiz.apache.org/download.html
06 CVE-2023-25921 IBM Security Guardium 文件上传漏洞
威胁等级:高危
漏洞描述:
2024年03月01日,华云安思境安全团队监测发现 IBM 官方发布安全通告,披露了 IBM Security Guardium Key Lifecycle Manager 3.0、 3.0.1、4.0、4.1、4.1.1 版本存在文件上传漏洞。IBM Security Guardium 是 IBM 公司开发的一套提供数据保护功能的平台,这个平台具备多种功能,包括自定义UI、报告管理和流线化的审计流程构建等,它不仅能够保护数据库,还能扩展保护数据仓库、ECM、文件系统和大数据环境(如Hadoop或NoSQL)等。攻击者可利用该漏洞上传或传输危险类型的文件,从而对系统安全构成严重威胁。
情报来源:
https://exchange.xforce.ibmcloud.com/vulnerabilities/247620
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。