腾讯安全近期监测到Atlassian官方发布了关于Confluence Data Center and Server的风险公告，漏洞编号为TVD-2024-14489 (CVE编号：CVE-2024-21683，CNNVD编号: CNNVD-202405-4060)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Confluence Data Center和Server是一款强大的企业级协作软件，旨在帮助团队更高效地整合信息、共享知识和协作完成项目。Confluence Data Center提供了高度可扩展和高可用性的解决方案，适用于大型企业和有严格性能需求的组织，而Confluence Server则适用于中小型企业，提供了灵活的部署选项和丰富的特性。这两个版本都支持创建、编辑和组织文档、页面和空间，以及集成其他Atlassian产品（如Jira），从而实现跨团队的协同工作和知识共享。

据描述，该漏洞源于Confluence使用了Rhino组件，Rhino是一个运行在JVM上的JavaScript引擎，可以无缝使用Java丰富的核心库和第三方库，具有权限的攻击者可以通过Confluence后台的“配置代码宏”处上传包含Java恶意代码的JavaScript文件，Rhino组件会将传入的Java代码进行调用，最终远程执行任意代码。

风险等级：

影响版本：

Confluence Data Center 8.9.0

修复建议：

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://www.atlassian.com/software/confluence/download-archives

腾讯安全近期监测到Sonatype官方发布了关于Nexus Repository 3的风险公告，漏洞编号为TVD-2024-13872 (CVE编号：CVE-2024-4956，CNNVD编号：CNNVD-202405-2896)。成功利用此漏洞的攻击者，最终可以访问服务器上的敏感文件及数据。

Nexus Repository 3是一款功能强大的仓库管理系统，用于存储、组织和管理软件组件及其相关依赖关系。它支持多种流行的包管理格式，如Maven, npm, NuGet等，可以帮助开发者和团队实现高效的构建、部署和发布流程。Nexus Repository 3提供了一系列高级功能，如智能代理、组件搜索、安全访问控制和漏洞扫描等，从而确保软件开发过程中的安全性和可靠性。

据描述，Nexus Repository 3使用了Jetty的URIUtil.canonicalPath()函数对传入的路径进行安全检查，但该函数存在代码缺陷，攻击者可以通过发送特制的请求绕过检查进行目录穿越，最终访问服务器上的敏感数据。

漏洞状态：

风险等级：

影响版本：

Nexus Repository 3 < 3.68.1

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://help.sonatype.com/en/download.html

<Set name="resourceBase"><Property name="karaf.base"/>/public</Set>

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告，漏洞编号为TVD-2024-12755 (CVE编号：CVE-2024-32113，CNNVD编号：CNNVD-202405-1728)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Apache OFBiz是一个开源的企业资源规划系统，提供了一套全面的业务解决方案，涵盖了企业运营的各个方面，如电子商务、客户关系管理、供应链管理、财务管理等。它采用灵活的模块化架构，支持企业根据实际需求进行定制化配置和扩展。Apache OFBiz具有高度可扩展性、安全性和稳定性，适用于各种规模的企业，帮助企业实现业务流程自动化，提高运营效率和管理水平。

据描述，该漏洞源于Apache OFBiz中的ControlFilter类针对URL路径限制不当，攻击者可以发送特制的请求绕过权限控制并访问后台/webtools/control/ProgramExport接口，最终远程执行任意代码。

漏洞状态：

风险等级：

影响版本：

Apache OFBiz < 18.12.13

修复建议：

https://ofbiz.apache.org/download.html

禁止访问/webtools/control/ProgramExport路径。

概述：

腾讯安全近期监测到F5官方发布了关于BIG-IP Next Central Manager的风险公告，漏洞编号为TVD-2024-12761 (CVE编号：CVE-2024-26026，CNNVD编号：CNNVD-202405-1736)。成功利用此漏洞的攻击者，最终可获取数据库中的敏感数据。

F5 BIG-IP Next Central Manager是一款集中式管理解决方案，用于监控和管理F5 BIG-IP应用交付平台的整个生命周期。它提供了一个统一的管理界面，使管理员能够轻松地配置、部署和监控分布在不同网络环境中的F5 BIG-IP设备。通过实时性能数据、报警和日志分析，Next Central Manager帮助企业实现对应用程序性能和安全性的全面掌控，从而确保关键业务的高可用性。

BIG-IP Next Central Manager的/api/login接口在处理用户输入时未进行充分的验证和过滤，攻击者可以通过该接口传入恶意构造的SQL语句片段，后端会直接将其拼接到原始SQL查询中，导致数据泄露。

20.0.1 <= F5 BIG-IP Next Central Manager <= 20.1.0

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

https://my.f5.com/manage/s/article/K000138733

概述：

腾讯安全近期监测到Apache官方发布了关于ActiveMQ的风险公告，漏洞编号为 (CVE编号：CVE-2024-32114，CNNVD编号：CNNVD-202405-256)。成功利用此漏洞的攻击者，可以获取敏感信息。

ActiveMQ是一款开源的消息队列中间件，支持Java消息服务和多种跨语言、跨平台的通信协议。它提供了可靠的异步消息传输机制，能够帮助分布式系统中的组件进行解耦和高效通信。ActiveMQ支持持久化、事务、负载均衡和高可用等特性，可以满足企业级别的消息队列需求。此外，ActiveMQ还有强大的集群和网络连接功能，适用于构建大规模、复杂的分布式系统。

据描述，该漏洞源于ActiveMQ未对 Jolokia JMX REST API 和 Message REST API 添加身份校验，攻击者可能在未经身份验证的情况下使用Jolokia JMX REST API与代理交互，或使用Message REST API向消息队列和主题中发送消息、接收消息、删除消息队列和主题等。

漏洞状态：

风险等级：

影响版本：

6.0.0 <= Apache ActiveMQ < 6.1.2

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/apache/activemq/tags

<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping"><property name="constraint" ref="securityConstraint" /><property name="pathSpec" value="/" /></bean>

概述：

腾讯安全近期监测到Google官方发布了关于Chrome的风险公告，漏洞编号为 (CVE编号：CVE-2024-4761，CNNVD编号：CNNVD-202405-1870)。成功利用此漏洞的攻击者，最终可以远程执行任意代码。

Chrome是一款由谷歌开发的免费、跨平台的网页浏览器，以其简洁的界面、高速的性能和丰富的扩展插件而受到广泛好评。Chrome采用了高效的V8 JavaScript引擎，提供了强大的开发者工具，并支持现代Web标准，使得用户可以轻松地浏览和互动各种网站和Web应用程序。同时，Chrome还具有同步功能、隐私保护和安全防护等特点，为用户提供了优质的上网体验。

据描述，该漏洞源于Google Chrome V8存在代码缺陷，攻击者可以通过精心设计的 HTML 页面进行越界内存写入，最终可能远程执行代码。

漏洞状态：

风险等级：

Chrome < 124.0.6367.207

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html

概述：

腾讯安全近期监测到关于Git的风险公告，漏洞编号为 TVD-2024-9478 (CVE编号：CVE-2024-32002，CNNVD编号：CNNVD-202404-1073)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Git是一款分布式版本控制系统，旨在帮助开发者高效地管理和协同项目源代码。它支持非线性开发流程，允许多个开发者在本地对代码进行修改和提交，然后通过合并、拉取和推送操作同步到远程仓库。Git具有强大的分支管理、历史追踪和冲突解决功能，使得开发者能够更容易地处理复杂的代码变更和协作问题，从而提高软件开发的效率和质量。

在支持符号链接且不区分大小写的文件系统中，Git 的递归克隆功能容易受到大小写混淆的影响。未经身份验证的远程攻击者可能利用此漏洞，诱导受害者克隆包含恶意代码的仓库，从而实现远程代码执行攻击。

P.S. 此漏洞只影响Windows和Mac系统

漏洞状态：

风险等级：

影响版本：

Git 2.45.0

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

- 避免从不受信任的来源克隆存储库

* 以上漏洞的修复建议，由安全专家审核并融合了AI生成的建议。

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

往期企业必修漏洞清单

• 2024年04月必修安全漏洞清单

• 2024年03月必修安全漏洞清单

• 2024年02月必修安全漏洞清单

• 2024年01月必修安全漏洞清单

• 2023年12月必修安全漏洞清单

• 2023年11月必修安全漏洞清单

• 2023年10月必修安全漏洞清单

• 2023年09月必修安全漏洞清单

• 2023年08月必修安全漏洞清单

• 2023年07月必修安全漏洞清单

• 2023年06月必修安全漏洞清单

• 2023年05月必修安全漏洞清单

• 2023年04月必修安全漏洞清单

• 2023年03月必修安全漏洞清单

• 2023年02月必修安全漏洞清单

• 2023年01月必修安全漏洞清单

• 2022年12月必修安全漏洞清单

• 2022年11月必修安全漏洞清单

• 2022年10月必修安全漏洞清单

• 2022年09月必修安全漏洞清单

• 2022年08月必修安全漏洞清单

• 2022年07月必修安全漏洞清单
  

• 2022年06月必修安全漏洞清单
• 2022年05月必修安全漏洞清单
  
• 2022年04月必修安全漏洞清单
• 2022年03月必修安全漏洞清单
  
• 2022年02月必修安全漏洞清单
• 2022年01月必修安全漏洞清单
  
• 2021年12月必修安全漏洞清单
• 2021年11月必修安全漏洞清单