2024年07月29日-2024年08月04日
本周漏洞态势研判情况
本周漏洞按类型和厂商统计
本周行业漏洞收录情况
1、Apache产品安全漏洞
Apache Arrow是美国阿帕奇(Apache)基金会的一款用于内存数据处理的跨语言开发平台。该平台支持C、C++、C#、Go和Java等编程语言,并提供进程间通信等功能。Apache CloudStack是美国阿帕奇(Apache)基金会的一套基础架构即服务(IaaS)云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CXF是美国阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache RocketMQ是美国阿帕奇(Apache)基金会的一款轻量级的数据处理平台和消息传递引擎。Apache StreamPark是美国阿帕奇(Apache)基金会的一个流媒体应用程序开发框架。Apache HTTP Server是美国阿帕奇(Apache)基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞使用授权令牌手动发出请求,获取敏感信息,导致拒绝服务等。
CNVD收录的相关漏洞包括:Apache Arrow Rust Object Store日志信息泄露漏洞、Apache CloudStack安全绕过漏洞(CNVD-2024-33812)、Apache CXF内存消耗漏洞、Apache RocketMQ信息泄露漏洞、Apache StreamPark权限管理错误漏洞、Apache HTTP Server信息泄露漏洞(CNVD-2024-33815)、Apache HTTP Server服务器端请求伪造漏洞、Apache StreamPark信息泄露漏洞。其中,“Apache CloudStack安全绕过漏洞(CNVD-2024-33812)、Apache CXF内存消耗漏洞”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33806
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33812
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33811
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33810
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33809
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33815
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33814
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33813
2、Foxit产品安全漏洞
Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:Foxit PDF Reader内存错误引用漏洞(CNVD-2024-33836、CNVD-2024-33835、CNVD-2024-33839、CNVD-2024-33837、CNVD-2024-33843、CNVD-2024-33841)、Foxit PDF Reader越界读取漏洞(CNVD-2024-33838)、Foxit PDF Reader越界写入漏洞(CNVD-2024-33840)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33836
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33835
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33839
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33838
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33837
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33843
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33841
https://www.cnvd.org.cn/flaw/show/CNVD-2024-33840
3、Microsoft产品安全漏洞
Microsoft Outlook是美国微软(Microsoft)公司的一套电子邮件应用程序。Microsoft Dynamics 365是美国微软(Microsoft)公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞进行欺骗攻击,获取敏感信息,提升权限,在系统上执行任意代码等。
CNVD收录的相关漏洞包括:Microsoft Outlook远程代码执行漏洞(CNVD-2024-34105)、Microsoft Outlook欺骗漏洞(CNVD-2024-34107)、Microsoft Outlook for Android信息泄露漏洞、Microsoft Outlook权限提升漏洞(CNVD-2024-34109)、Microsoft Outlook远程代码执行漏洞(CNVD-2024-34111)、Microsoft Dynamics 365 (on-premises)信息泄露漏洞(CNVD-2024-34112)、Microsoft Dynamics 365 Business Central权限提升漏洞、Microsoft Dynamics 365 Business Central远程代码执行漏洞(CNVD-2024-34114)。其中,除“Microsoft Outlook权限提升漏洞(CNVD-2024-34109)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34105
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34107
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34108
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34109
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34111
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34112
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34113
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34114
4、Adobe产品安全漏洞
Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe Premiere Pro是美国奥多比(Adobe)公司的一套非线性编辑的视频剪辑软件。Adobe Acrobat是美国奥多比(Adobe)公司的一套PDF文件编辑和转换工具。Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞访问受限目录之外的文件和目录,并覆盖任意文件,在系统上执行任意代码或导致应用程序崩溃等。
CNVD收录的相关漏洞包括:Adobe Bridge越界读取漏洞(CNVD-2024-34085)、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2024-34087、CNVD-2024-34088、CNVD-2024-34093)、Adobe InDesign越界写入漏洞(CNVD-2024-34089)、Adobe Premiere Pro不受信任搜索路径漏洞、Adobe Acrobat Android路径遍历漏洞、Adobe ColdFusion访问控制错误漏洞(CNVD-2024-34094)。其中,除“Adobe Bridge越界读取漏洞(CNVD-2024-34085)、Adobe Premiere Pro不受信任搜索路径漏洞、Adobe Acrobat Android路径遍历漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34085
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34087
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34088
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34089
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34090
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34092
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34093
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34094
5、LG Simple Editor拒绝服务漏洞
LG Simple Editor是韩国乐金(LG)公司的一个简易编辑器,通过简化流程和在标牌上即时播放来创建新内容。本周,LG Simple Editor被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34031
小结:本周,Apache产品被披露存在多个漏洞,攻击者可利用漏洞使用授权令牌手动发出请求,获取敏感信息,导致拒绝服务等。此外,Foxit、Microsoft、Adobe等多款产品被披露存在多个漏洞,攻击者可利用漏洞进行欺骗攻击,获取敏感信息,覆盖任意文件,提升权限,在系统上执行任意代码或导致应用程序崩溃等。另外,LG Simple Editor被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
Tenda AC10是中国腾达(Tenda)公司的一款无线路由器。
Tenda AC10存在缓冲区溢出漏洞,该漏洞源于文件/goform/SetStaticRouteCfg的fromSetRouteStatic函数的参数list未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
POC链接:
https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Tenda/AC10/V16.03.10.13/fromSetRouteStatic.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34381
原文始发于微信公众号(国家互联网应急中心CNCERT):CNVD漏洞周报2024年第31期
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论