根据国家信息安全漏洞库(CNNVD)统计,本周(2024.05.06~2024.05.12)CNNVD接报漏洞260个,其中信息技术产品漏洞(通用型漏洞)192个,网络信息系统漏洞(事件型漏洞)68个,其中华云安报送8个;CNNVD收录漏洞通报92份。
本周重点关注漏洞包括:CVE-2024-4436 Red Hat OpenStack Platform 资源管理错误漏洞 、CVE-2024-26579 Apache InLong 反序列化漏洞、CVE-2024-32113 Apache OFBiz 路径遍历漏洞、CVE-2024-21793 F5 BIG-IP OData 注入漏洞、CVE-2024-3951 PTC Code Beamer ALM 跨站脚本漏洞、CVE-2024-27793 Apple iTunes 远程代码执行漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2024-4436 Red Hat OpenStack Platform 资源管理错误漏洞
威胁等级:高危
漏洞描述:
2024年05月07日,华云安思境安全团队发现 Jenkins 官方发布了安全通告,披露了 Red Hat OpenStack Platform 16.1及16.2版本存在资源管理错误漏洞。JRed Hat OpenStack Platform (RHOSP) 是由 Red Hat, Inc. 设计的全面云计算管理套件,专为企业和云服务提供商量身打造。它提供了一系列工具和功能,以便用户能够高效地构建、部署和操作大型云基础设施。攻击者可利用此漏洞发起拒绝服务攻击,使合法用户无法访问云服务。
情报来源:
https://access.redhat.com/security/cve/cve-2024-4436
02 CVE-2024-26579 Apache InLong 反序列化漏洞
威胁等级:超危
漏洞描述:
2024年05月08日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache InLong 1.7.0 版本至1.11.0 版本存在反序列化漏洞。Apache InLong 是 Apache 基金会推出的数据集成框架,它支持自动化、安全和可靠的大规模数据传输。攻击者可利用此漏洞在服务器上执行任意代码。
情报来源:
https://lists.apache.org/thread/d2hndtvh6bll4pkl91o2oqxyynhr54k3
03 CVE-2024-32113 Apache OFBiz 路径遍历漏洞
威胁等级:超危
漏洞描述:
2024年05月08日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache OFBiz 18.12.13之前版本存在路径遍历漏洞。Apache OFBiz 是 Apache 软件基金会维护的综合性业务自动化平台,该系统功能全面,涵盖订单、库存、会计、产品、内容和人力资源管理等,其模块化设计使企业能快速适应市场变化,并与现有系统集成。攻击者可利用此漏洞获取敏感信息文件。
情报来源:
https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrd
04 CVE-2024-21793 F5 BIG-IP OData 注入漏洞
威胁等级:高危
漏洞描述:
2024年05月08日,华云安思境安全团队监测发现 F5 官方发布安全通告,披露了 F5 BIG-IP Next Central Manager API 20.0.1 - 20.1.0 版本存在注入漏洞。OData 是一种用于数据访问和操作的轻量级协议,它允许对数据进行查询和更新。如果 API 在处理请求时未能充分验证或清理输入数据,攻击者可利用此漏洞执行命令注入。
情报来源:
https://my.f5.com/manage/s/article/K000138732
05 CVE-2024-3951 PTC Code Beamer ALM 跨站脚本漏洞
威胁等级:高危
漏洞描述:
2024年05月08日,华云安思境安全团队监测发现 PTC 官方发布安全更新,披露了 PTC Code Beamer ALM 存在跨站脚本漏洞。PTC CodeBeamer ALM 是 PTC 公司开发的一款集成化平台,旨在优化和简化整个软件开发生命周期。它通过提供一个全面的工具集,支持从需求管理到质量保证的各个环节,帮助团队高效协作,确保软件质量和合规性。攻击者可以利用此漏洞注入并执行恶意代码。
情报来源:
https://support.ptc.com/appserver/auth/it/esd/product.jsp?prodFamily=CBM
06 CVE-2024-27793 Apple iTunes 远程代码执行漏洞
威胁等级:高危
漏洞描述:
2024年05月08日,华云安思境安全团队监测发现 Apple 官方发布安全更新,披露了 Apple iTunes 12.13.2 版本存在远程代码执行漏洞。Apple iTunes 是苹果公司提供的多功能媒体播放器和库管理软件,用户可通过它播放音频视频、管理媒体文件,并通过 iTunes Store 在线购买音乐、电影和电视节目。攻击者可利用该漏洞在受影响的系统上执行任意代码。
情报来源:
https://support.apple.com/en-us/HT214099
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
