所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯安全威胁情报中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯安全威胁情报中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。 以下是2024年5月份必修安全漏洞清单:
漏洞介绍及修复建议详见后文
腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Server的风险公告,漏洞编号为TVD-2024-14489 (CVE编号:CVE-2024-21683,CNNVD编号: CNNVD-202405-4060)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Confluence Data Center和Server是一款强大的企业级协作软件,旨在帮助团队更高效地整合信息、共享知识和协作完成项目。Confluence Data Center提供了高度可扩展和高可用性的解决方案,适用于大型企业和有严格性能需求的组织,而Confluence Server则适用于中小型企业,提供了灵活的部署选项和丰富的特性。这两个版本都支持创建、编辑和组织文档、页面和空间,以及集成其他Atlassian产品(如Jira),从而实现跨团队的协同工作和知识共享。
据描述,该漏洞源于Confluence使用了Rhino组件,Rhino是一个运行在JVM上的JavaScript引擎,可以无缝使用Java丰富的核心库和第三方库,具有权限的攻击者可以通过Confluence后台的“配置代码宏”处上传包含Java恶意代码的JavaScript文件,Rhino组件会将传入的Java代码进行调用,最终远程执行任意代码。
风险等级:
影响版本:
Confluence Data Center 8.9.0
修复建议:
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.atlassian.com/software/confluence/download-archives
腾讯安全近期监测到Sonatype官方发布了关于Nexus Repository 3的风险公告,漏洞编号为TVD-2024-13872 (CVE编号:CVE-2024-4956,CNNVD编号:CNNVD-202405-2896)。成功利用此漏洞的攻击者,最终可以访问服务器上的敏感文件及数据。
Nexus Repository 3是一款功能强大的仓库管理系统,用于存储、组织和管理软件组件及其相关依赖关系。它支持多种流行的包管理格式,如Maven, npm, NuGet等,可以帮助开发者和团队实现高效的构建、部署和发布流程。Nexus Repository 3提供了一系列高级功能,如智能代理、组件搜索、安全访问控制和漏洞扫描等,从而确保软件开发过程中的安全性和可靠性。
据描述,Nexus Repository 3使用了Jetty的URIUtil.canonicalPath()函数对传入的路径进行安全检查,但该函数存在代码缺陷,攻击者可以通过发送特制的请求绕过检查进行目录穿越,最终访问服务器上的敏感数据。
漏洞状态:
风险等级:
影响版本:
Nexus Repository 3 < 3.68.1
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://help.sonatype.com/en/download.html
<Set name="resourceBase"><Property name="karaf.base"/>/public</Set>
腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告,漏洞编号为TVD-2024-12755 (CVE编号:CVE-2024-32113,CNNVD编号:CNNVD-202405-1728)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Apache OFBiz是一个开源的企业资源规划系统,提供了一套全面的业务解决方案,涵盖了企业运营的各个方面,如电子商务、客户关系管理、供应链管理、财务管理等。它采用灵活的模块化架构,支持企业根据实际需求进行定制化配置和扩展。Apache OFBiz具有高度可扩展性、安全性和稳定性,适用于各种规模的企业,帮助企业实现业务流程自动化,提高运营效率和管理水平。
据描述,该漏洞源于Apache OFBiz中的ControlFilter类针对URL路径限制不当,攻击者可以发送特制的请求绕过权限控制并访问后台/webtools/control/ProgramExport接口,最终远程执行任意代码。
漏洞状态:
风险等级:
影响版本:
Apache OFBiz < 18.12.13
修复建议:
https://ofbiz.apache.org/download.html
禁止访问/webtools/control/ProgramExport路径。
概述:
腾讯安全近期监测到F5官方发布了关于BIG-IP Next Central Manager的风险公告,漏洞编号为TVD-2024-12761 (CVE编号:CVE-2024-26026,CNNVD编号:CNNVD-202405-1736)。成功利用此漏洞的攻击者,最终可获取数据库中的敏感数据。
F5 BIG-IP Next Central Manager是一款集中式管理解决方案,用于监控和管理F5 BIG-IP应用交付平台的整个生命周期。它提供了一个统一的管理界面,使管理员能够轻松地配置、部署和监控分布在不同网络环境中的F5 BIG-IP设备。通过实时性能数据、报警和日志分析,Next Central Manager帮助企业实现对应用程序性能和安全性的全面掌控,从而确保关键业务的高可用性。
BIG-IP Next Central Manager的/api/login接口在处理用户输入时未进行充分的验证和过滤,攻击者可以通过该接口传入恶意构造的SQL语句片段,后端会直接将其拼接到原始SQL查询中,导致数据泄露。
20.0.1 <= F5 BIG-IP Next Central Manager <= 20.1.0
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
https://my.f5.com/manage/s/article/K000138733
概述:
腾讯安全近期监测到Apache官方发布了关于ActiveMQ的风险公告,漏洞编号为 (CVE编号:CVE-2024-32114,CNNVD编号:CNNVD-202405-256)。成功利用此漏洞的攻击者,可以获取敏感信息。
ActiveMQ是一款开源的消息队列中间件,支持Java消息服务和多种跨语言、跨平台的通信协议。它提供了可靠的异步消息传输机制,能够帮助分布式系统中的组件进行解耦和高效通信。ActiveMQ支持持久化、事务、负载均衡和高可用等特性,可以满足企业级别的消息队列需求。此外,ActiveMQ还有强大的集群和网络连接功能,适用于构建大规模、复杂的分布式系统。
据描述,该漏洞源于ActiveMQ未对 Jolokia JMX REST API 和 Message REST API 添加身份校验,攻击者可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互,或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。
漏洞状态:
风险等级:
影响版本:
6.0.0 <= Apache ActiveMQ < 6.1.2
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/activemq/tags
<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
<property name="constraint" ref="securityConstraint" />
<property name="pathSpec" value="/" />
</bean>
概述:
腾讯安全近期监测到Google官方发布了关于Chrome的风险公告,漏洞编号为 (CVE编号:CVE-2024-4761,CNNVD编号:CNNVD-202405-1870)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Chrome是一款由谷歌开发的免费、跨平台的网页浏览器,以其简洁的界面、高速的性能和丰富的扩展插件而受到广泛好评。Chrome采用了高效的V8 JavaScript引擎,提供了强大的开发者工具,并支持现代Web标准,使得用户可以轻松地浏览和互动各种网站和Web应用程序。同时,Chrome还具有同步功能、隐私保护和安全防护等特点,为用户提供了优质的上网体验。
据描述,该漏洞源于Google Chrome V8存在代码缺陷,攻击者可以通过精心设计的 HTML 页面进行越界内存写入,最终可能远程执行代码。
漏洞状态:
风险等级:
Chrome < 124.0.6367.207
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html
概述:
腾讯安全近期监测到关于Git的风险公告,漏洞编号为 TVD-2024-9478 (CVE编号:CVE-2024-32002,CNNVD编号:CNNVD-202404-1073)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Git是一款分布式版本控制系统,旨在帮助开发者高效地管理和协同项目源代码。它支持非线性开发流程,允许多个开发者在本地对代码进行修改和提交,然后通过合并、拉取和推送操作同步到远程仓库。Git具有强大的分支管理、历史追踪和冲突解决功能,使得开发者能够更容易地处理复杂的代码变更和协作问题,从而提高软件开发的效率和质量。
在支持符号链接且不区分大小写的文件系统中,Git 的递归克隆功能容易受到大小写混淆的影响。未经身份验证的远程攻击者可能利用此漏洞,诱导受害者克隆包含恶意代码的仓库,从而实现远程代码执行攻击。
P.S. 此漏洞只影响Windows和Mac系统
漏洞状态:
风险等级:
影响版本:
Git 2.45.0
修复建议:
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
- 避免从不受信任的来源克隆存储库
* 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。
* 漏洞评分为腾讯安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单