根据国家信息安全漏洞库(CNNVD)统计,本周(2024.04.29~2024.05.05)CNNVD接报漏洞75个,其中信息技术产品漏洞(通用型漏洞)69个,网络信息系统漏洞(事件型漏洞)6个,其中华云安报送1个;CNNVD收录漏洞通报23份。
本周重点关注漏洞包括:CVE-2024-28185 Judge0 沙箱逃逸漏洞、CVE-2024-27322 R语言反序列化漏洞、CVE-2024-32114 Apache ActiveMQ 未授权访问漏洞、CVE-2024-34144 Jenkins Script Security 沙箱绕过漏洞、CVE-2024-30306 Adobe Acrobat Reader 信息泄露漏洞、CVE-2024-4040 CrushFTP 认证绕过模板注入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-28185 Judge0 沙箱逃逸漏洞
威胁等级:超危
漏洞描述:
2024年04月29日,华云安思境安全团队监测发现 judge0 官方发布安全通告,披露了 Judge0 <= 1.13.0 版本存在沙箱逃逸漏洞。Judge0 是一个开源的在线代码执行平台,具备高度的可扩展性。它能够支持开发者构建各种需要在线代码执行功能的应用程序。攻击者可利用这些漏洞实现沙箱逃逸可能获得主机上的root权限。
情报来源:
https://github.com/judge0/judge0/blob/v1.13.0/app/jobs/isolate_job.rb#L197-L201
02 CVE-2024-27322 R语言反序列化漏洞
威胁等级:高危
漏洞描述:
2024年04月30日,华云安思境安全团队监测发现 R语言官方发布安全通告,披露了 R语言1.4.0 ~ 4.4.0 版本存在反序列化漏洞。R语言是一种开源编程语言,主要应用于统计分析、数据可视化和机器学习,具有强大的数据处理能力和丰富的图形展示功能。攻击者可利用该漏洞在加载和引用时在受害者的设备上执行任意代码。
情报来源:
https://cran.r-project.org/doc/manuals/r-release/NEWS.html
03 CVE-2024-32114 Apache ActiveMQ 未授权访问漏洞
威胁等级:高危
漏洞描述:
2024年05月02日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache ActiveMQ 6.0.0 - 6.1.1 版本存在未授权访问漏洞。ActiveMQ 是由 Apache 软件基金会开发的开源消息中间件,它为应用程序提供了一种高效、可扩展、稳定且安全的企业级消息传递解决方案。攻击者可在未进行身份验证的情况下滥用Message REST API,向消息队列发送以及清空消息等敏感操作。
情报来源:
https://lists.apache.org/thread/y0gwbjkps680b43y7z7nfy4q453d0kr9
04 CVE-2024-34144 Jenkins Script Security 沙箱绕过漏洞
威胁等级:高危
漏洞描述:
2024年05月02日,华云安思境安全团队发现 Jenkins 官方发布了安全通告,披露了 Jenkins Script Security插件 <= 1335.vf07d9ce377a_e 插件存在沙箱绕过漏洞,Jenkins Script Security 插件是Jenkins 持续集成(CI)软件平台的一个专门设计来增强平台安全性的扩展,为 Groovy 脚本的执行提供了精细的控制,使低权限用户能够安全执行的脚本。攻击者可利用该漏洞绕过沙箱保护,并在Jenkins控制器 JVM上下文中执行任意代码。
情报来源:
https://www.jenkins.io/security/advisory/2024-05-02/#SECURITY-3341
05 CVE-2024-30306 Adobe Acrobat Reader 信息泄露漏洞
威胁等级:高危
漏洞描述:
2024年05月02日,华云安思境安全团队监测发现 Adobe 官方发布安全通告,披露了 Acrobat Reader<=23.008.20470 版本存在信息泄露漏洞。Adobe Acrobat Reader 是一款广泛使用的免费软件,它允许用户查看、打印和注释PDF文档,同时支持多种平台,是处理PDF文件必不可少的工具。攻击者可以利用此漏洞,通过诱使受害者打开一个特制的恶意文件,来在受害者的系统上下文中执行任意代码。
情报来源:
https://helpx.adobe.com/security/products/acrobat/apsb24-07.html
06 CVE-2024-4040 CrushFTP 认证绕过模板注入漏洞
威胁等级:超危
漏洞描述:
2024年05月04日,华云安思境安全团队监测发现 CrushFTP 官方发布安全通告,披露了 crushftp 10.7.1~10.7.1、crushftp 11.0.0~11.1.0 版本之前存在认证绕过模板注入漏洞。CrushFTP 是一款功能全面的跨平台FTP服务器软件,它支持FTP、FTPS、SFTP、HTTP、HTTPS、WebDAV以及WebDAV SSL多种通信协议,提供了灵活且安全的数据传输和文件共享解决方案。该安全漏洞起因于缺乏身份验证机制以及远程代码执行缺陷,远程攻击者可利用该漏洞在受影响的系统上执行任意代码。
情报来源:
https://www.crushftp.com/crush10wiki/Wiki.jsp?page=Update
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
