根据国家信息安全漏洞库(CNNVD)统计,本周(2024.03.25~2024.03.31)CNNVD接报漏洞361个,其中信息技术产品漏洞(通用型漏洞)316个,网络信息系统漏洞(事件型漏洞)45个,CNNVD收录漏洞通报85份。
本周重点关注漏洞包括:CVE-2024-20767 Adobe ColdFusion 任意文件读取漏洞、CVE-2024-23451 Elasticsearch 任意文件读取漏洞、CVE-2024-2955 Wireshark 代码执行漏洞、CVE-2024-29202 Jumpserver 远程代码执行漏洞、CVE-2024-23538 Apache Fineract SQL 注入漏洞、CVE-2024-3094 XZ-Utils 供应链后门漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-20767 Adobe ColdFusion 任意文件读取漏洞
威胁等级:高危
漏洞描述:
2024年03月25日,华云安思境安全团队监测发现 Adobe 官方发布安全通告,披露了 Adobe ColdFusion 2023 Update 6及之前版本、ColdFusion 2021 Update 12及之前版本存在任意文件读取漏洞。Adobe ColdFusion 是一个商用应用程序开发平台,它提供了一个集成开发环境(IDE)以及一套功能全面的脚本语言,主要用于构建动态网站和Web应用程序。这个平台的核心是 CFML(ColdFusion Markup Language),这是一种基于标签的脚本语言,用于快速开发Web应用程序。由于访问控制不当,攻击者可精心构造恶意请求,读取目标服务器上的任意文件。
情报来源:
https://helpx.adobe.com/cn/security/products/coldfusion/apsb24-14.html
02 CVE-2024-23451 Elasticsearch 任意文件读取漏洞
威胁等级:中危
漏洞描述:
2024年03月27日,华云安思境安全团队监测发现 lasticsearch 官方发布安全通告,披露了 Elasticsearch 8.13.0 之前版本存在任意文件读取漏洞。Elasticsearch 是一个基于 Lucene 库的开源搜索引擎,它提供了一个分布式、多租户能力的全文搜索引擎,具备近实时的搜索和分析能力。由于访问控制不当,攻击者可利用该漏洞从远程集群上读取任意文档。
情报来源:
https://discuss.elastic.co/t/elasticsearch-8-13-0-security-update-esa-2024-07/356315
03 CVE-2024-2955 Wireshark 代码执行漏洞
威胁等级:高危
漏洞描述:
2024年03月27日,华云安思境安全团队监测发现 Wireshark 官方发布安全通告,披露了 Wireshark 4.2.0 ~ 4.0.3 版本、4.0.0 ~ 4.0.13 版本存在代码执行漏洞。Wireshark 是一个免费开源的网络封包分析软件,用于捕获网络数据包并对其进行详细的分析,它能够解析多种网络协议,如TCP/IP、HTTP、DNS、FTP、SSH 等,并将其展示为易于理解的形式,可以帮助用户深入了解网络通信过程。攻击者可利用该漏洞执行代码。
情报来源:
https://www.wireshark.org/security/wnpa-sec-2024-06.html
04 CVE-2024-29202 Jumpserver 远程代码执行漏洞
威胁等级:超危
漏洞描述:
2024年03月29日,华云安思境安全团队监测发现 Jumpserver 官方发布安全通告,披露了 JumpServer 3.10.7 之前版本存在远程代码执行漏洞。JumpServer 是一个开源的堡垒机和运维安全审计系统,它采用 Python 和 Django 进行开发,并遵循 Web 2.0 规范,主要功能是帮助运维人员安全可控地管理服务器,提高运维工作的效率和质量。攻击者可利用该漏洞远程执行任意代码。
情报来源:
https://github.com/jumpserver/jumpserver/security/advisories/GHSA-2vvr-vmvx-73ch
05 CVE-2024-23538 Apache Fineract SQL 注入漏洞
威胁等级:超危
漏洞描述:
2024年03月29日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Fineract 1.8.5 之前版本存在SQL注入漏洞。Apache Fineract是一个功能丰富且高度可配置的开源金融服务平台,专为满足不同金融机构的特定需求而设计,支持多种组织类型、交付渠道、金融产品、服务以及贷款方式,金融机构能够根据自身业务需求进行定制化配置。攻击者可利用该漏洞更改或添加某些组件中的数据。
情报来源:
https://lists.apache.org/thread/by32w2dylzgbqm5940x3wj7519wolqxs
06 CVE-2024-3094 XZ-Utils 供应链后门漏洞
威胁等级:超危
漏洞描述:
2024年03月29日,华云安思境安全团队发现 RedHat 官网发布了安全通告,披露了 xz-utils 5.6.0 版本、xz-utils 5.6.1 版本存在供应链后门漏洞。XZ-Utils 是一套在 Linux/Unix 系统中用于处理 .xz 和 .lzma 文件的命令行压缩工具,这个工具集包括了创建、检查和解压缩这些压缩格式文件的功能。攻击者可利用该漏洞破坏 sshd 认证过程,远程获取对系统的未授权访问权限。
情报来源:
https://access.redhat.com/security/cve/CVE-2024-3094
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。