2024年度網(wǎng)絡(luò)安全漏洞分析報告

目錄一、 漏洞專點評 1漏洞量增全網(wǎng)安全系成峻戰(zhàn) 1度洞量著，持威網(wǎng)安全 1OA系漏依是防演中主殺器 1高漏類暴常技術(shù)陷 1跨業(yè)洞高，領(lǐng)域全待強(qiáng) 2供應(yīng)攻與據(jù)露為網(wǎng)安的要脅 2應(yīng)攻頻，系統(tǒng)弱性 2數(shù)泄事規(guī)空，影深遠(yuǎn) 2勒攻與據(jù)取段多化 2全球絡(luò)全規(guī)政框架益善 3據(jù)護(hù)合標(biāo)速出臺 3AI新技的理為重點 3鼓白黑與小業(yè)網(wǎng)安參與 3全球威與域事并存凸網(wǎng)安國合作重性 3型件發(fā)影鍵基設(shè)施 3執(zhí)行與際作效初顯 4二、 漏洞體勢述 4漏洞量趨勢 4人工運情數(shù)分析 5漏洞露間析 8漏洞重度析 9漏洞型析 10行業(yè)洞據(jù)析 12受漏影產(chǎn)分析 13三、 重點洞表 15GitlabGitlab訪控當(dāng)漏洞 15AtlassianConfluence授權(quán)代注漏洞 15IvantiConnectSecure需授權(quán)令入洞 16Jenkins授權(quán)路遍漏洞可致感息露 16MinioMinio權(quán)管當(dāng)漏洞 16IvantiConnectSecure權(quán)限理當(dāng)洞 17OracleWeblogicServer未權(quán)碼入洞 17MicrosoftExchangeServer限理當(dāng)洞導(dǎo)致限升 18Jetbrains驗證陷洞 18AppleMacos界入漏洞 18AdobeColdFusion未授權(quán)意件取洞 19AltoNetworksPan-Os授權(quán)命注漏洞 19OracleWeblogicServer授權(quán)碼入漏洞 20京達(dá)Kkfileview未授權(quán)件傳制漏洞 20CrushFTP隊Crushftp授權(quán)板入洞 20GoogleChromeVisual放利漏可程序潰 21GoogleChrome界寫入 21SonatypeNexusRepository授權(quán)路遍漏洞 21GoogleChrome型混漏洞 22FortinetFortiproxy越界入洞導(dǎo)遠(yuǎn)代碼行 22CheckSecurityGateways未權(quán)文件取洞 22ApacheOFBiz權(quán)徑歷洞導(dǎo)遠(yuǎn)程碼行 23LinuxLinuxKernel漏洞可本權(quán)升 23ProgressSoftwareReportServer驗證陷洞 23PHP代注洞 24SolarWindsServU路徑歷洞 24AdobeCommerce未授權(quán)部體入洞 25NAS授權(quán)令注漏洞 25HTTPFileServer授權(quán)代注洞 25GeoServer未權(quán)碼注漏洞 26ServiceNow授權(quán)模板入洞 26ServiceNow授權(quán)輸入證當(dāng)洞 26授權(quán)SQL注入洞 27ApacheOFBiz權(quán)碼入洞 27MicrosoftEdge類混淆洞 27蘭軟件BES控制臺ejb未權(quán)列化洞可遠(yuǎn)代行 28GoogleChrome型混漏洞 28GoogleChrome29MicrosoftWindows網(wǎng)絡(luò)記設(shè)缺漏洞 29MicrosoftWindowsInstaller權(quán)管不洞致限升 29ZimbraCollaboration未權(quán)命注漏洞 30IvantiCloudServicesAppliance授權(quán)命注入洞 30SpringCloudDataFlow序列漏洞導(dǎo)代碼行 31WindowsMSHTMLPlatform編不范洞 31IvantiCloudServiceAppliance未權(quán)路遍歷洞 31致云DataEase授權(quán)訪控不漏洞 32IvantiCSA需權(quán)SQL入洞 32IvantiIvantiCSA授權(quán)路遍漏洞 32FortinetFortiManager身驗缺漏洞致遠(yuǎn)代執(zhí)行 33GoogleChromeDawn越寫漏洞致代碼行 33SpringSecurity問制當(dāng)洞致功失控 34IvantiEndpointManagerSQL注漏洞可遠(yuǎn)程碼行 34蘭德BES理臺授權(quán)反列漏洞可致程碼行 35ApacheOFBiz器端求造(SSRF)洞可致程碼行 35AltoNetworks理界面限管不漏洞致失控 357-zip整溢漏洞可致程碼行 36Zabbix授權(quán)SQL注入洞 36H3CSecCenterSMP未權(quán)入證當(dāng)洞導(dǎo)遠(yuǎn)代執(zhí)行 37SonicWallSMA100web管頁面沖區(qū)出洞 37OpenWrtAttendedSysUpgrade/Asu命入漏洞 37GitLabCE/EE需權(quán)輸驗不漏洞可致敏信泄露 38ApacheStruts2上傳制當(dāng)洞可遠(yuǎn)程碼行 38Apache競爭洞可致程執(zhí)行 39需權(quán)命注漏洞 39ApacheHugeGraph-Server身驗缺漏洞 40四、 網(wǎng)絡(luò)全點聞 41軟高遭客攻擊 41邦查稱已除黑對SOHO路器的擊 41ChangeHealthcare數(shù)據(jù)露件響過1億人 41ScreenConnect工中發(fā)了危洞影云和地例 42絡(luò)罪伙稱療保變攻事負(fù)責(zé) 42CISA和Hat響Linux行的應(yīng)漏洞出告 42國話報司影響7000多客的據(jù)泄事件 43Ascension網(wǎng)攻：電健記系失導(dǎo)致分術(shù)”時止“ 43Snowflake客在中遭“大數(shù)盜：Mandiant 43CDKGlobal遭次網(wǎng)攻后閉大分系統(tǒng) 43關(guān)陷使iOS和macOS程序易到應(yīng)攻擊 44數(shù)泄泄了1.09用信息 44更誤致球Windows崩潰 44國運期間超過140次絡(luò)擊 45似絡(luò)擊導(dǎo)雅圖場入亂 45球起信設(shè)器化件黎嫩BP爆炸數(shù)人傷 46夜雪用SDP件進(jìn)大模叉網(wǎng)釣魚動 46軟Meta和法瓦解球絡(luò)罪欺網(wǎng)絡(luò) 46360布球份大模安漏報》曝近40個模相全漏洞 47巴因應(yīng)商客攻，迫用寫式記工資 47最安措中準(zhǔn)變觀濾和未年用戶 47樂諾亞、銀行摩士利公司76員的據(jù)網(wǎng)露 48國動營商應(yīng)對益獗欺行為 48特酒造商Stoli在勒軟攻后美申請產(chǎn) 49GitLab將止中區(qū)用供GitL賬號務(wù) 49洲警織拆了15個的27個DDOS攻擊臺 49本空司遭攻擊致球瘓 50果司支付9500美解決Siri隱訟 50本大動運稱網(wǎng)攻中了分務(wù) 50五、 網(wǎng)絡(luò)全規(guī)態(tài) 51財政印《于強(qiáng)據(jù)資管的導(dǎo)見》 51中國子息業(yè)合發(fā)布數(shù)合審指》團(tuán)標(biāo)準(zhǔn) 51自然源發(fā)《外供涉測成管辦（征意稿》 51中國行協(xié)發(fā)《行業(yè)據(jù)產(chǎn)值南》 51國家準(zhǔn)發(fā)布GB/T43697-2024數(shù)安技術(shù)數(shù)分分規(guī)》 52聯(lián)合大通首關(guān)人工能全決議 52國家信公《進(jìn)規(guī)范據(jù)境動定》 52中央絡(luò)全信化員會公公《絡(luò)力信治規(guī)》 53出于私慮巴停了Meta人智數(shù)處理 53央信啟動朗·2024年期成網(wǎng)絡(luò)境治專行動 53家信就《智能成成容識法（求見）公征求見 54務(wù)公《網(wǎng)據(jù)安管條》 54盟布人工法案，人智引一個同監(jiān)和律架 54國府布《零信數(shù)安指》 54國邦法部計算刑草，帽客迎合曙光 55國擬法：企業(yè)施絡(luò)全規(guī)抵免費 55大亞過案16歲以禁社媒體 55朗網(wǎng)政策轉(zhuǎn)向：CISA收，少管 56耳出更嚴(yán)加密幣洗法規(guī) 56過年判，國大通網(wǎng)犯公約 56六、 漏洞情服介紹 58一、漏洞云專家點評本章節(jié)是漏洞云專家對2024年爆發(fā)的漏洞數(shù)據(jù)以及全球的網(wǎng)絡(luò)安全現(xiàn)狀的點評與思考。漏洞數(shù)量激增對全球網(wǎng)絡(luò)安全體系構(gòu)成嚴(yán)峻挑戰(zhàn)202444,957202350%，1014,637被廣泛發(fā)現(xiàn)和修復(fù)。OA2024，360800條易被利用，30036080,70218098%。SQL37%80%威脅?？缯军c腳本攻擊（XSS，7,179）SQL（3,293）者培訓(xùn)、代碼審查和增加產(chǎn)品發(fā)布前的人工滲透測試環(huán)節(jié)是解決這些問題的關(guān)鍵。36090%，表明跨行業(yè)的通用軟件和平臺是主要薄弱點；而教育、金融和醫(yī)療衛(wèi)生等關(guān)鍵領(lǐng)域也暴露了大批漏洞，凸顯了行業(yè)特定應(yīng)用的脆弱性。在產(chǎn)品層面Kernel（4,531）Windows供應(yīng)鏈攻擊與數(shù)據(jù)泄露成為網(wǎng)絡(luò)安全的主要威脅RedHatCISACocoaPods是防范此類攻擊的必要手段。2024AT&T1.09ChangeHealthcare1風(fēng)險，還可能對全球信任體系帶來長期損害。企業(yè)需強(qiáng)化數(shù)據(jù)加密和存儲策略，防止信息泄露問題出現(xiàn)。BlackCatChangeHealthcare6TBCDKGlobal關(guān)閉系統(tǒng)等案例表明，勒索攻擊和數(shù)據(jù)竊取呈現(xiàn)出更高的精準(zhǔn)性和多樣性。攻擊者通常利用社會工程、系統(tǒng)漏洞等展開勒索行動。企業(yè)需要通過外采威脅情報能力、漏洞情報能力擴(kuò)充自身威脅信息的獲取渠道，補(bǔ)齊信息短板，并增強(qiáng)內(nèi)部人員的信息安全培訓(xùn)來緩解這些威脅。全球網(wǎng)絡(luò)安全法規(guī)與政策框架日益完善2024GB/T43697-2024AI聯(lián)合國通過的人工智能全球決議、歐盟的《人工智能法案》，以及中國《人工智能生成合成內(nèi)容標(biāo)識辦法（征求意見稿）AIAI德國的白帽黑客立法、美國的小微企業(yè)網(wǎng)絡(luò)安全稅收抵免計劃等，體現(xiàn)了對網(wǎng)絡(luò)安全多樣化參與的重視。通過合法化白帽黑客行動以及為中小企業(yè)提供支持，這些政策有助于彌合網(wǎng)絡(luò)安全領(lǐng)域的能力差距，構(gòu)建更廣泛的協(xié)作生態(tài)系統(tǒng)。全球化威脅與區(qū)域化事件并存，凸顯網(wǎng)絡(luò)安全國際合作的重要性140IT致航班延誤等事件表明，關(guān)鍵基礎(chǔ)設(shè)施面臨著愈發(fā)復(fù)雜的網(wǎng)絡(luò)威脅。歐洲刑警組織協(xié)調(diào)的“PowerOFF”15DDoS絡(luò)犯罪和保護(hù)全球數(shù)字生態(tài)方面不可或缺。二、漏洞整體態(tài)勢綜述漏洞總量與趨勢2020202422,809202444,957202350%可能反映了漏洞挖掘技術(shù)的進(jìn)步、信息安全意識的增強(qiáng)以及更多軟件系統(tǒng)被納入安全審查范圍。數(shù)據(jù)表明，軟件開發(fā)和使用的復(fù)雜性增加，加之更多企業(yè)和機(jī)構(gòu)主動披露漏洞，導(dǎo)致漏洞數(shù)量高速增長。這也突顯了網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻。對于企業(yè)和開發(fā)者而言，這一趨勢提出了更高的安全管理要求。建議企業(yè)強(qiáng)化軟件開發(fā)過程中的安全評估，實施“安全左移”策略，將安全測試融入開發(fā)生命周期。同時，積極關(guān)注漏洞披露平臺和行業(yè)安全動態(tài)，及時更新系統(tǒng)和補(bǔ)丁。此外，應(yīng)持續(xù)加強(qiáng)人員培訓(xùn)與演練，提升應(yīng)急響應(yīng)能力，確保能夠快速應(yīng)對漏洞可能帶來的威脅。通過建立完善的安全治理體系，企業(yè)可以更有效地適應(yīng)快速變化的安全環(huán)境。50000450004000035000300002521627192291054495725000228092000015000100005000020202021202220232024圖1漏洞總量年度增長趨勢圖人工深運營情報數(shù)據(jù)分析2024，3604360AI800400400200600，300在2024年的攻防演練期間，360漏洞情報團(tuán)隊累計捕獲了80,702條漏洞攻擊樣本，發(fā)布漏洞情報預(yù)警180余條（企業(yè)用戶可登錄360漏洞云情報平臺查看），其中98%以上屬于高1602）SQL37%15%8%。通80%以上的漏洞攻擊風(fēng)險。4%1%輸入驗證不當(dāng)其他文件包含1%4%1%輸入驗證不當(dāng)其他文件包含1%訪問控制不當(dāng) XML外部實2% 體注入(XXE)敏感信息存儲不當(dāng) 敏感信息存儲不當(dāng)2%4%2%4%2%4%SQL注入37%代碼注入6%反序列化7%代碼注入6%反序列化7%命令注入7%路徑遍歷 文件上傳限制不當(dāng)8% 15%SQL注入命令注入身份驗證缺陷文件上傳限制不當(dāng)反序列化權(quán)限管理不當(dāng)XML外部實體注入(XXE)其他路徑遍歷代碼注入文件包含圖22024攻防演練期間漏洞類型利用率占比圖同時，分析顯示（3），關(guān)。辦公自動化系統(tǒng)（OA）41統(tǒng)。其次是企業(yè)綜合管理系統(tǒng)（21）和企業(yè)資源計劃系統(tǒng)（ERP）（11）。人力資源管理系統(tǒng)（HRM）和客戶關(guān)系管理系統(tǒng)（CRM）109（EAM）存在一定數(shù)量的漏洞?？梢钥闯觯粽咄鼉A向于針對企業(yè)日常運營中涉及廣泛、數(shù)據(jù)密集的業(yè)務(wù)系統(tǒng)發(fā)起攻擊，這些系統(tǒng)一旦被攻破，將對企業(yè)的正常運行和數(shù)據(jù)安全造成嚴(yán)重威脅。(WAF)WEB監(jiān)測監(jiān)控系統(tǒng)WEB服務(wù)器安防相關(guān)管理系統(tǒng)大數(shù)據(jù)處理資產(chǎn)管理系統(tǒng)文檔管理系統(tǒng)(CRM)(WAF)WEB監(jiān)測監(jiān)控系統(tǒng)WEB服務(wù)器安防相關(guān)管理系統(tǒng)大數(shù)據(jù)處理資產(chǎn)管理系統(tǒng)文檔管理系統(tǒng)(CRM)人力資源管理系統(tǒng)(ERP)企業(yè)綜合管理系統(tǒng)(OA)222222333334555689910112141051015202530354045051015202530354045圖3攻防演練期間被重點攻擊的產(chǎn)品分類及對應(yīng)漏洞數(shù)量統(tǒng)計表360以便用戶快速應(yīng)對攻擊威脅，漏洞信息和修復(fù)方案均可在情報平臺查閱。企業(yè)在日常運行中，為了應(yīng)對這些風(fēng)險，需重點加強(qiáng)對高風(fēng)險業(yè)務(wù)系統(tǒng)的安全防護(hù)。特別是針對辦公自動化系統(tǒng)（OA）ERPSQLWeb的完整性，從源頭上降低漏洞被利用的風(fēng)險。除了技術(shù)層面的安全防護(hù)工作，企業(yè)還需完善漏洞管理機(jī)制，建立快速響應(yīng)流程，對高危漏洞進(jìn)行優(yōu)先級修復(fù)，確保補(bǔ)丁及時上線。同時，可通過訂閱漏洞情報服務(wù)，定期進(jìn)行滲透測試和安全評估，主動發(fā)現(xiàn)潛在的安全隱患。此外，部署完善的數(shù)據(jù)備份與恢復(fù)機(jī)制是必不可少的安全保障措施，以應(yīng)對因惡意攻擊導(dǎo)致的關(guān)鍵數(shù)據(jù)丟失問題。漏洞披露時間分析2,0003,500常規(guī)審核和修復(fù)節(jié)奏下的正常波動。從數(shù)據(jù)中可以分析出，漏洞的集中披露可能與行業(yè)內(nèi)的周期性活動、事件或版本更新有關(guān)。企業(yè)和開發(fā)者需要注意這些周期，以便提前做好準(zhǔn)備，包括加強(qiáng)漏洞挖掘和修復(fù)資源的配置以及提升應(yīng)急響應(yīng)能力。建議企業(yè)實施持續(xù)的安全監(jiān)控和風(fēng)險評估，不僅在高風(fēng)險月份做好防范措施，還需在全年來保持警惕。此外，加強(qiáng)對員工的安全意識培訓(xùn)和演練也是非常必要的，以確保在漏洞披露前后能夠靈活應(yīng)對潛在威脅。通過這些策略，企業(yè)可以更加有效地保護(hù)其信息系統(tǒng)的安全性。’1211102,0003,500常規(guī)審核和修復(fù)節(jié)奏下的正常波動。從數(shù)據(jù)中可以分析出，漏洞的集中披露可能與行業(yè)內(nèi)的周期性活動、事件或版本更新有關(guān)。企業(yè)和開發(fā)者需要注意這些周期，以便提前做好準(zhǔn)備，包括加強(qiáng)漏洞挖掘和修復(fù)資源的配置以及提升應(yīng)急響應(yīng)能力。建議企業(yè)實施持續(xù)的安全監(jiān)控和風(fēng)險評估，不僅在高風(fēng)險月份做好防范措施，還需在全年來保持警惕。此外，加強(qiáng)對員工的安全意識培訓(xùn)和演練也是非常必要的，以確保在漏洞披露前后能夠靈活應(yīng)對潛在威脅。通過這些策略，企業(yè)可以更加有效地保護(hù)其信息系統(tǒng)的安全性。’12111098765432120000173124902255272724402751328429122800336335671400012000100008000600040001463716000圖42024年每月漏洞數(shù)量分布圖漏洞嚴(yán)重程度分析漏洞的數(shù)量也不容忽視，這些漏洞對系統(tǒng)安全構(gòu)成了直接威脅，需優(yōu)先處理。從數(shù)據(jù)中可以分析出，盡管中危漏洞數(shù)量最多，但高危和嚴(yán)重漏洞帶來的潛在威脅更為的發(fā)生。同時，對于中危漏洞，建議建立完善的監(jiān)控和評估機(jī)制，及時進(jìn)行風(fēng)險評估和修續(xù)監(jiān)控，企業(yè)可以更有效地管理安全風(fēng)險，確保信息系統(tǒng)的穩(wěn)定和安全。表12024年漏洞嚴(yán)重性等級數(shù)量表高危27%中危42%嚴(yán)重25%低危6%嚴(yán)重 高危 中危 低危漏洞的數(shù)量也不容忽視，這些漏洞對系統(tǒng)安全構(gòu)成了直接威脅，需優(yōu)先處理。從數(shù)據(jù)中可以分析出，盡管中危漏洞數(shù)量最多，但高危和嚴(yán)重漏洞帶來的潛在威脅更為的發(fā)生。同時，對于中危漏洞，建議建立完善的監(jiān)控和評估機(jī)制，及時進(jìn)行風(fēng)險評估和修續(xù)監(jiān)控，企業(yè)可以更有效地管理安全風(fēng)險，確保信息系統(tǒng)的穩(wěn)定和安全。表12024年漏洞嚴(yán)重性等級數(shù)量表高危27%中危42%嚴(yán)重25%低危6%嚴(yán)重 高危 中危 低危漏洞等級漏洞數(shù)量嚴(yán)重10873高危11786中危18639低危2669圖52024年漏洞嚴(yán)重性等級占比圖漏洞類型分析2024(XSS)、SQL問控制不當(dāng)、命令注入、緩沖區(qū)溢出、路徑遍歷、跨站請求偽造(CSRF)、UAF、輸入驗證不當(dāng)、越界讀取、文件上傳限制不當(dāng)、NULL262024露的漏洞數(shù)據(jù)中排名前20的漏洞類型及其占比?？缯军c腳本攻擊（XSS）SQL7,1793,293例。這表明，盡管安全措施不斷加強(qiáng)，這兩類傳統(tǒng)漏洞依然是軟件系統(tǒng)中的主要安全挑戰(zhàn)。此外，權(quán)限管理不當(dāng)和訪問控制不當(dāng)也占據(jù)顯著比例，反映出在開發(fā)設(shè)計階段，邏輯安全問題需要被重點關(guān)注。和輸出編碼，防止跨站點腳本攻擊（XSS）SQL表22024年漏洞類型及數(shù)量表表22024年漏洞類型及數(shù)量表漏洞類型ID漏洞類型漏洞數(shù)量VT-110100跨站點腳本攻擊(XSS)7179VT-110300SQL注入3293VT-120100權(quán)限管理不當(dāng)2957VT-120000訪問控制不當(dāng)2101VT-110500命令注入2053VT-130103緩沖區(qū)溢出1633VT-110400路徑遍歷1121VT-120201跨站請求偽造(CSRF)997VT-130201UAF987VT-130400文件上傳限制不當(dāng)969VT-110200輸入驗證不當(dāng)934VT-130102越界讀取884VT-130202NULL指針取消引用851VT-130300資源分配控制不當(dāng)840VT-110600代碼注入740VT-110000中和不當(dāng)435VT-130101越界寫入428VT-180000異常處理不當(dāng)385VT-120202憑證管理不當(dāng)378VT-110800反序列化370--其他4355越界寫入1%反序列化越界寫入1%反序列化1% 異常處理不當(dāng)1%憑證管理不當(dāng)其他13%中和不當(dāng)代碼注入1%中和不當(dāng)代碼注入1%2%資源分配控制不當(dāng)2%跨站點腳本攻擊(XSS)21%跨站點腳本攻擊(XSS)跨站點腳本攻擊(XSS)SQL注入 權(quán)限管理不當(dāng)命令注入 緩沖區(qū)溢出 路徑遍歷UAF 文件上傳限制不當(dāng) 輸入驗證不當(dāng)NULL指針取消引用 資源分配控制不當(dāng) 代碼注入越界寫入 異常處理不當(dāng) 憑證管理不當(dāng)訪問控制不當(dāng)跨站請求偽造(CSRF)其他

圖62024年漏洞類型占比圖訪問控制不當(dāng)6%6%5%路徑遍歷3%緩沖區(qū)溢出命令注入權(quán)限管理不當(dāng)9%UAF3%文件上傳限制不當(dāng)訪問控制不當(dāng)6%6%5%路徑遍歷3%緩沖區(qū)溢出命令注入權(quán)限管理不當(dāng)9%UAF3%文件上傳限制不當(dāng)3%跨站請求偽造(CSRF)3%輸入驗證不當(dāng)3%3%越界讀取3%SQL注入10%3602024（40,156風(fēng)險性對多個領(lǐng)域的運營和數(shù)據(jù)安全產(chǎn)生了廣泛影響。869696個漏洞強(qiáng)調(diào)了在線交易平臺需要更加穩(wěn)固的安全保障。金融業(yè)與醫(yī)療行業(yè)分別報告了585和333個漏洞，指出了保護(hù)金融數(shù)據(jù)和患者信息的緊迫性。效降低漏洞風(fēng)險，確保各行業(yè)的信息安全和業(yè)務(wù)連續(xù)性。行業(yè)漏洞數(shù)量PCIC-1通用行業(yè)40156PCIC-3教育869PCIC-19批發(fā)和零售業(yè)696PCIC-2金融業(yè)585PCIC-4醫(yī)療衛(wèi)生和社會工作333PCIC-14住宿和餐飲業(yè)323PCIC-10制造業(yè)320PCIC-12廣播、電視、電影和錄音制作業(yè)302PCIC-7國家機(jī)構(gòu)275PCIC-13交通運輸、倉儲和郵政業(yè)255PCIC-17租賃和商務(wù)服務(wù)業(yè)227PCIC-6電力、熱力、燃?xì)饧八a(chǎn)和供應(yīng)業(yè)227PCIC-16房地產(chǎn)業(yè)177PCIC-5電信、廣播電視和衛(wèi)星傳輸服務(wù)163PCIC-15建筑業(yè)146PCIC-18農(nóng)、林、牧、漁業(yè)109PCIC-21居民服務(wù)、修理和其他服務(wù)業(yè)104PCIC-9鐵路、船舶、航空航天和其他運輸設(shè)備制造業(yè)95PCIC-20水利、環(huán)境和公共設(shè)施管理業(yè)67PCIC-8汽車制造業(yè)47PCIC-11采礦業(yè)23表32024年行業(yè)通用漏洞數(shù)量表7.受漏洞影響產(chǎn)品分析72024100LinuxKernel4531WindowsWindows10Windows11，12441011AdobeExperienceManager、GoogleChrome表32024年行業(yè)通用漏洞數(shù)量表7.受漏洞影響產(chǎn)品分析數(shù)據(jù)表明，操作系統(tǒng)和廣泛使用的應(yīng)用程序仍是安全漏洞的主要聚集點。高風(fēng)險軟件往往與其復(fù)雜性和廣泛的用戶基礎(chǔ)有關(guān)，這意味著即便經(jīng)過多次更新和修復(fù)，漏洞仍可能出現(xiàn)。戶的數(shù)據(jù)信息安全。7202410045311000 1500 2000 2500 3000 3500 4000 4500 50000 50010111244676iPhoneOStvOSmacOSAndroidwatchOSJoomla!WindowsServer2008GoogleChromeAdobeExperienceWindowsServer2012WindowsServer2016WindowsServer2019WindowsServer2022Windows11WindowsLinux三、重點漏洞列表以下是360漏洞情報根據(jù)2024年爆發(fā)的幾萬條安全漏洞，通過深度分析漏洞的破壞性、1.1.GitlabGitlab訪問控制不當(dāng)漏洞GitLabGitLabCI/CD（持續(xù)集成和持續(xù)交付GitLab漏洞源于用戶帳戶密碼重置電子郵件可能會發(fā)送到未經(jīng)驗證的電子郵件地址。2.AtlassianConfluence未授權(quán)代碼注入漏洞360AtlassianConfluence漏洞編號LDYVUL-2024-00003169、CVE-2023-7028漏洞等級嚴(yán)重漏洞類型訪問控制不當(dāng)漏洞時間2024-01-1215:04:55在野利用存在漏洞編號LDYVUL-2024-00003744、CVE-2023-22527漏洞等級嚴(yán)重漏洞類型代碼注入漏洞時間2024-01-1615:15:38在野利用存在器控制權(quán)限。IvantiConnectSecure需授權(quán)命令注入漏洞漏洞編號LDYVUL-2024-00003241、CVE-2024-21887漏洞等級嚴(yán)重漏洞類型命令注入漏洞時間2024-01-1717:57:31在野利用存在IvantiConnectSecure是美國Ivanti公司的安全遠(yuǎn)程網(wǎng)絡(luò)連接工具。IvantiConnectSecure9.x、22.xIvantiPolicySecure9.x、22.x命令注入漏洞，該漏洞源于Web特制請求并在設(shè)備上執(zhí)行任意命令。Jenkins未授權(quán)路徑遍歷漏洞可導(dǎo)致敏感信息泄露漏洞編號LDYVUL-2024-00005937、CVE-2024-23897漏洞等級高危漏洞類型路徑遍歷漏洞時間2024-01-2516:11:10360JenkinsJenkinsMinioMinio權(quán)限管理不當(dāng)漏洞漏洞編號LDYVUL-2024-00007411、CVE-2024-24747漏洞等級高危漏洞類型權(quán)限管理不當(dāng)漏洞時間2024-02-0118:02:57在野利用存在MinIOMinIO習(xí)、分析和應(yīng)用程序數(shù)據(jù)工作負(fù)載的基礎(chǔ)架構(gòu)。MinIO存在安全漏洞。攻擊者利用該漏洞可以獲得更高的權(quán)限。IvantiConnectSecure權(quán)限管理不當(dāng)漏洞漏洞編號LDYVUL-2024-00003232、CVE-2023-46805漏洞等級高危漏洞類型權(quán)限管理不當(dāng)漏洞時間2024-02-0118:50:49IvantiICSIvantiIvantiICS9.x22.xIvantiPolicySecureWeb驗證繞過漏洞。攻擊者利用該漏洞可以繞過控制檢查來訪問受限資源。OracleWeblogicServer未授權(quán)代碼注入漏洞漏洞編號LDYVUL-2024-00011935、CVE-2024-20931漏洞等級高危漏洞類型代碼注入漏洞時間2024-02-0618:09:57OracleFusionMiddleware（Oracle）OracleWebLogicServer公司的產(chǎn)品。OracleFusionMiddlewareOracleWebLogicServer用從開發(fā)到生產(chǎn)的整個生命周期管理，并簡化了應(yīng)用的部署和管理。360漏洞云監(jiān)測到OracleFusionMiddleware的OracleWebLogicServer.0.0版本存在一個代碼注入漏洞。攻擊者利用該漏洞可以獲取服務(wù)器控制權(quán)限。MicrosoftExchangeServer權(quán)限管理不當(dāng)漏洞可導(dǎo)致權(quán)限提升漏洞編號LDYVUL-2024-00010775、CVE-2024-21410漏洞等級嚴(yán)重漏洞類型權(quán)限管理不當(dāng)漏洞時間2024-02-2216:10:35在野利用存在MicrosoftExchangeServer（Microsoft它提供郵件存取、儲存、轉(zhuǎn)發(fā)，語音郵件，郵件過濾篩選等功能。MicrosoftExchangeServer存在安全漏洞。以下產(chǎn)品和版本受到影響：MicrosoftExchangeServer2016CumulativeUpdate23,MicrosoftExchangeServerCumulativeUpdate13,MicrosoftExchangeServer2019CumulativeUpdate14。JetbrainsTeamcity身份驗證缺陷漏洞漏洞編號LDYVUL-2024-00016777、CVE-2024-27198漏洞等級嚴(yán)重漏洞類型身份驗證缺陷漏洞時間2024-03-0515:06:09JetBrainsTeamCityJetBrains該工具提供持續(xù)單元測試、代碼質(zhì)量分析和構(gòu)建問題分析報告等功能。JetBrainsTeamCity2023.11.4AppleMacos越界寫入漏洞漏洞編號LDYVUL-2024-00018853、CVE-2024-23296漏洞等級高危漏洞編號LDYVUL-2024-00018853、CVE-2024-23296漏洞類型越界寫入漏洞時間2024-03-0617:09:08在野利用存在AppleiOSAppleiPadOS（Apple）公司的產(chǎn)品。AppleiOS移動設(shè)備所開發(fā)的操作系統(tǒng)。AppleiPadOSiPadiOS17.4iPadOS17.4能力的攻擊者可能能夠繞過內(nèi)核內(nèi)存保護(hù)。AdobeColdFusion未授權(quán)任意文件讀取漏洞漏洞編號LDYVUL-2024-00021457、CVE-2024-20767漏洞等級高危漏洞類型輸入驗證不當(dāng)漏洞時間2024-03-2617:00:03AdobeColdFusion存在任意文件讀取漏洞，漏洞原因在于AdobeColdFusion中存在一處訪問控制不當(dāng)，未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可以構(gòu)造惡意請求讀取目標(biāo)服務(wù)器上的任意文件，泄露敏感信息。PaloAltoNetworksPan-Os未授權(quán)命令注入漏洞漏洞編號LDYVUL-2024-00520293、CVE-2024-3400漏洞等級嚴(yán)重漏洞類型命令注入漏洞時間2024-04-1315:10:45360PaloAltoNetworksPAN-OS驗證的攻擊者可利用該漏洞在防火墻上以root權(quán)限執(zhí)行任意代碼，該漏洞影響啟用了GlobalProtect網(wǎng)關(guān)的PAN-OS10.2、PAN-OS11.0和PAN-OS11.1身份驗證的攻擊者可利用該漏洞在防火墻上以root權(quán)限執(zhí)行任意代碼，CloudNGFW、Panorama設(shè)備和PrismaAccess不受此漏洞的影響。漏洞編號：CVE-2024-3400，漏洞威脅等級：嚴(yán)重。OracleWeblogicServer未授權(quán)代碼注入漏洞漏洞編號LDYVUL-2024-00520420、CVE-2024-21006漏洞等級高危漏洞類型代碼注入漏洞時間2024-04-1716:06:33360漏洞云監(jiān)測到Oracle發(fā)布了四月安全公告，其中存在一個OracleWebLogicServer遠(yuǎn)程代碼執(zhí)行漏洞，未經(jīng)身份驗證的攻擊者可以利用該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行weblogicT3/IIOP意代碼，導(dǎo)致對關(guān)鍵數(shù)據(jù)的未授權(quán)訪問或?qū)λ蠴racleWebLogicServer完全訪問。凱京信達(dá)Kkfileview未授權(quán)文件上傳限制不當(dāng)漏洞漏洞編號LDYVUL-2024-00520428漏洞等級嚴(yán)重漏洞類型文件上傳限制不當(dāng)漏洞時間2024-04-1718:04:09360漏洞云監(jiān)測到kkFileView存在一個任意文件上傳漏洞，攻擊者可利用該漏洞上傳惡意文件，獲取操作系統(tǒng)權(quán)限。CrushFTP團(tuán)隊Crushftp未授權(quán)模板注入漏洞漏洞編號LDYVUL-2024-00526825、CVE-2024-4040漏洞等級嚴(yán)重漏洞類型文件上傳限制不當(dāng)漏洞時間2024-04-2517:33:56360CrushFTP10.7.1之前的v10版本、11.1.0版本之前的v7，v8，v9CrushFTPsessionGoogleChromeVisual釋放后利用漏洞可導(dǎo)致程序崩潰漏洞編號LDYVUL-2024-00538020、CVE-2024-4671漏洞等級嚴(yán)重漏洞類型UAF漏洞時間2024-05-1016:09:53在野利用存在GoogleChromeVisual存后導(dǎo)致瀏覽器崩潰或執(zhí)行任意代碼。GoogleChrome越界寫入漏洞編號LDYVUL-2024-00260076、CVE-2024-4761漏洞等級高危漏洞類型越界寫入漏洞時間2024-05-1616:18:43ChromeV8潰或執(zhí)行任意代碼SonatypeNexusRepository未授權(quán)路徑遍歷漏洞漏洞編號LDYVUL-2024-00261614、CVE-2024-4956漏洞等級高危漏洞類型路徑遍歷漏洞時間2024-05-2218:23:36SonatypeNexusRepository3.68.1歷，允許未經(jīng)身份驗證的攻擊者讀取系統(tǒng)文件。GoogleChrome類型混淆漏洞漏洞編號LDYVUL-2024-00266072、CVE-2024-5274漏洞等級高危漏洞類型類型混淆漏洞時間2024-05-2416:48:08在野利用存在ChromeV8器崩潰或執(zhí)行任意代碼。目前，此漏洞已檢測到在野利用。FortinetFortiproxy越界寫入漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00009715、CVE-2024-21762漏洞等級嚴(yán)重漏洞類型越界寫入漏洞時間2024-05-3110:30:51FortinetFortiOS（Fortinet）FortiGate臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web和反垃圾郵件等多種安全功能。FortinetFortiOS在越界寫入，允許攻擊者通過特制請求執(zhí)行未經(jīng)授權(quán)的代碼或命令。CheckPointSecurityGateways未授權(quán)任意文件讀取漏洞漏洞編號LDYVUL-2024-00267040、CVE-2024-24919漏洞等級高危漏洞類型訪問控制不當(dāng)漏洞時間2024-06-0315:43:58CheckPointSecurityGatewaysCheckPointNGFW安全網(wǎng)關(guān)。CheckPointSecurityGateways利用該漏洞可以獲取敏感信息。ApacheOFBiz未授權(quán)路徑遍歷漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00537165、CVE-2024-32113漏洞等級嚴(yán)重漏洞類型路徑遍歷漏洞時間2024-06-0416:26:15ApacheOFBizJavaWebApacheOFBiz18.12.13ApacheOfbiz路徑遍歷漏洞，導(dǎo)致攻擊者可以通過構(gòu)造惡意路徑請求后端接口執(zhí)行惡意代碼。LinuxLinuxKernelUAF漏洞可致本地權(quán)限提升漏洞編號LDYVUL-2024-00007218、CVE-2024-1086漏洞等級高危漏洞類型UAF漏洞時間2024-06-0609:27:42Linuxkernelnetfilter:nf_tables組件中存在釋放后重用，nf_hook_slow()ProgressSoftwareTelerikReportServer身份驗證缺陷漏洞漏洞編號LDYVUL-2024-00267272、CVE-2024-4358漏洞等級嚴(yán)重漏洞類型身份驗證缺陷漏洞編號LDYVUL-2024-00267272、CVE-2024-4358漏洞時間2024-06-0615:22:35洞訪問受限功能。25PHPCGI代碼注入漏洞360洞訪問受限功能。25PHPCGI代碼注入漏洞360PHPPHPPHP-CGIWindow平臺且使用了特定語系時，攻擊者可構(gòu)造惡意請求繞過CVE-2012-1823補(bǔ)丁，通過注入惡意的CGI模式命令參數(shù)，在服務(wù)上執(zhí)行任意PHP代碼。26SolarWindsServU路徑遍歷漏洞SolarWindsServ-UFileServerSolarWindsSolarWindsServ-U漏洞編號LDYVUL-2024-00270053、CVE-2024-4577漏洞等級嚴(yán)重漏洞類型命令注入漏洞時間2024-06-0714:55:54在野利用存在漏洞編號LDYVUL-2024-00269513、CVE-2024-28995漏洞等級高危漏洞類型路徑遍歷漏洞時間2024-06-1414:51:17以訪問讀取主機(jī)上的敏感文件，對服務(wù)器機(jī)密性造成較高影響。AdobeCommerce未授權(quán)外部實體注入漏洞漏洞編號LDYVUL-2024-00380448、CVE-2024-34102漏洞等級嚴(yán)重漏洞類型XML外部實體注入(XXE)漏洞時間2024-06-1714:59:42在野利用存在AdobeCommerce（Adobe）字商務(wù)解決方案。AdobeCommerce存在一個XML外部實體引用(XXEMagentoOpenSource任意代碼執(zhí)行。ZyxelNAS未授權(quán)命令注入漏洞漏洞編號LDYVUL-2024-00268743、CVE-2024-29973漏洞等級嚴(yán)重漏洞類型命令注入漏洞時間2024-06-2010:26:11ZyxelNAS326V5.21(AAZF.17)C0之前版本、NAS542V5.21(ABAG.14)C0之前版本存setCookieHTTPPOST(OS)命令。RejettoHTTPFileServer未授權(quán)代碼注入漏洞漏洞編號LDYVUL-2024-00267966、CVE-2024-23692漏洞等級嚴(yán)重漏洞類型代碼注入漏洞時間2024-06-2116:27:43在野利用存在RejettoHTTP文件服務(wù)器在舊版本中（<=2.4.0RC7）存在一個代碼注入漏洞。此漏洞允許遠(yuǎn)程未經(jīng)身份驗證的攻擊者通過發(fā)送特制的HTTP請求在受影響的系統(tǒng)上執(zhí)行任意命令。自CVE分配日期起，RejettoHFS2.x版本已經(jīng)不再受支持。GeoServer未授權(quán)代碼注入漏洞漏洞編號LDYVUL-2024-00385396、CVE-2024-36401漏洞等級嚴(yán)重漏洞類型代碼注入漏洞時間2024-07-0310:15:18在野利用存在GeoServer是一個開源服務(wù)器，允許用戶共享和編輯地理空間數(shù)據(jù)。GeoServerOGCGeoServerXPathXPathApacheCommonsJxpathServiceNow未授權(quán)模板注入漏洞漏洞編號LDYVUL-2024-00388809、CVE-2024-4879漏洞等級嚴(yán)重漏洞類型輸入驗證不當(dāng)漏洞時間2024-07-1118:58:19ServiceNowJellyGlideServiceNow程執(zhí)行代碼。ServiceNow未授權(quán)輸入驗證不當(dāng)漏洞漏洞編號LDYVUL-2024-00388817、CVE-2024-5217漏洞等級嚴(yán)重漏洞類型中和不當(dāng)漏洞時間2024-07-1215:16:14ServiceNowWashingtonDC、Vancouver和UtahNowPlatform一個輸入驗證錯誤漏洞。此漏洞可能使未經(jīng)身份驗證的用戶在NowPlatform環(huán)境中遠(yuǎn)程執(zhí)行代碼。漏洞編號LDYVUL-2024-00391565、CVE-2024-39911漏洞等級嚴(yán)重漏洞類型SQL注入漏洞時間2024-07-2215:21:42漏洞編號LDYVUL-2024-00535316、CVE-2024-38856漏洞等級嚴(yán)重漏洞類型代碼注入漏洞時間2024-08-0516:57:05331Panel未授權(quán)SQL331Panel未授權(quán)SQL注入漏洞1Panel是一個基于Web的Linux服務(wù)器管理控制面板。1Panel1.10.12-tls之前SQL1Panel對User-Agentsql注入漏洞。34ApacheOFBiz未授權(quán)代碼注入漏洞ApacheOFBizJavaWebApacheOFBiz18.12.14幕渲染代碼。漏洞編號LDYVUL-2024-00536992、CVE-2024-38178漏洞等級高危漏洞編號LDYVUL-2024-00536992、CVE-2024-38178漏洞類型類型混淆漏洞時間2024-08-1411:23:00統(tǒng)上執(zhí)行任意代碼，該漏洞存在在野利用。36寶蘭德軟件BES管理控制臺ejb未授權(quán)反序列化漏洞可致遠(yuǎn)程代碼執(zhí)行360統(tǒng)上執(zhí)行任意代碼，該漏洞存在在野利用。36寶蘭德軟件BES管理控制臺ejb未授權(quán)反序列化漏洞可致遠(yuǎn)程代碼執(zhí)行360BES制權(quán)限。37GoogleChrome類型混淆漏洞漏洞編號LDYVUL-2024-00541423漏洞等級嚴(yán)重漏洞類型反序列化漏洞時間2024-08-1518:31:14漏洞編號LDYVUL-2024-00544155、CVE-2024-7971漏洞等級高危漏洞類型類型混淆漏洞時間2024-08-2218:10:59在野利用存在GoogleChrome（Google）WebV8JavaScriptGoogleChrome128.0.6613.84洞源于包含一個類型混淆問題。GoogleChromeUAF漏洞漏洞編號LDYVUL-2024-00544141、CVE-2024-7965漏洞等級高危漏洞類型UAF漏洞時間2024-08-2816:40:38在野利用存在Chrome存在釋放后重用漏洞（UAF），該漏洞存在于Chrome的V8JavaScript引擎中，攻擊者可以通過精心構(gòu)造的HTML頁面，利用該漏洞遠(yuǎn)程攻擊目標(biāo)系統(tǒng)，導(dǎo)致瀏覽器崩潰或執(zhí)行任意代碼。MicrosoftWindows網(wǎng)絡(luò)標(biāo)記設(shè)計缺陷漏洞漏洞編號LDYVUL-2024-00544625、CVE-2024-38217漏洞等級中危漏洞類型設(shè)計缺陷漏洞時間2024-09-1111:13:13在野利用存在360漏洞云監(jiān)測到微軟發(fā)布9月安全公告，修復(fù)了多個安全漏洞，其中包含一個MicrosoftWindows網(wǎng)絡(luò)標(biāo)記設(shè)計缺陷漏洞。該漏洞是由于安全措施實施不足而存在的。攻擊者通過誘騙受害者下載特制文件，逃避Web標(biāo)記(MOTW)防御并繞過安全功能，該漏洞存在在野利用。MicrosoftWindowsInstaller權(quán)限管理不當(dāng)漏洞可致權(quán)限提升漏洞編號LDYVUL-2024-00544910、CVE-2024-38014漏洞等級高危漏洞類型權(quán)限管理不當(dāng)漏洞時間2024-09-1112:41:24漏洞編號LDYVUL-2024-00544910、CVE-2024-38014在野利用存在該漏洞存在在野利用。41該漏洞存在在野利用。41ZimbraCollaboration未授權(quán)命令注入漏洞360ZimbraCollaboration漏洞，其中包含postjournal服務(wù)中的一個命令注入漏洞，在遠(yuǎn)程Zimbra服務(wù)器開啟了postjournal服務(wù)時，未經(jīng)身份驗證的攻擊者可以利用此漏洞執(zhí)行系統(tǒng)任意命令，獲取服務(wù)器控制權(quán)限。42IvantiCloudServicesAppliance需授權(quán)命令注入漏洞360IvantiIvantiCloud漏洞編號LDYVUL-2024-00546099、CVE-2024-45519漏洞等級嚴(yán)重漏洞類型安全缺陷漏洞時間2024-09-1312:49:16漏洞編號LDYVUL-2024-00545016、CVE-2024-8190漏洞等級高危漏洞類型命令注入漏洞時間2024-09-1318:29:43在野利用存在洞，該漏洞允許經(jīng)過身份驗證的遠(yuǎn)程攻擊者獲取遠(yuǎn)程代碼執(zhí)行。攻擊者必須具有管理員級別的權(quán)限才能利用此漏洞。SpringCloudDataFlow反序列化漏洞可導(dǎo)致代碼執(zhí)行漏洞編號LDYVUL-2024-00531505、CVE-2024-37084漏洞等級嚴(yán)重漏洞類型反序列化漏洞時間2024-09-1416:05:48VMwareSpringCloudDataFlow（VMware）式處理和批處理數(shù)據(jù)的代碼庫。VMwareSpringCloudDataFlow2.11.0APIYAML化操作，導(dǎo)致在服務(wù)器上執(zhí)行任意代碼。WindowsMSHTMLPlatform編碼不規(guī)范漏洞漏洞編號LDYVUL-2024-00544757、CVE-2024-43461漏洞等級高危漏洞類型編碼不規(guī)范漏洞時間2024-09-1814:58:00360漏洞云監(jiān)測到微軟發(fā)布9月安全公告，修復(fù)了多個安全漏洞，其中包含一個MicrosoftWindowsMSHTMLPlatform危及受影響的系統(tǒng)。IvantiCloudServiceAppliance未授權(quán)路徑遍歷漏洞漏洞編號LDYVUL-2024-00548522、CVE-2024-8963漏洞等級嚴(yán)重漏洞類型路徑遍歷漏洞時間2024-09-2316:14:34IvantiCloudServicesApplianc（IvantiCSAIvantiInternet應(yīng)用程序。可通過Internet提供安全的通信和功能。360IvantiServicesAppliance4.6Patch519CVE-2024-8190未授權(quán)獲取服務(wù)器控制權(quán)限的效果。飛致云DataEase未授權(quán)訪問控制不當(dāng)漏洞漏洞編號LDYVUL-2024-00029297、CVE-2024-30269漏洞等級中危漏洞類型訪問控制不當(dāng)漏洞時間2024-09-3015:27:04DataEase趨勢，從而實現(xiàn)業(yè)務(wù)的改進(jìn)與優(yōu)化。360漏洞云監(jiān)測到DataEase在2.5.1版本之前，DataEase據(jù)庫配置信息。IvantiCSA需授權(quán)SQL注入漏洞漏洞編號LDYVUL-2024-00777546、CVE-2024-9379漏洞等級中危漏洞類型SQL注入漏洞時間2024-10-0915:36:55在野利用存在360Ivanti3于CSA5.0.2WebSQL擊者可利用此漏洞運行任意SQL語句，該漏洞存在在野利用。IvantiIvantiCSA需授權(quán)路徑遍歷漏洞漏洞編號LDYVUL-2024-00777553、CVE-2024-9381漏洞等級高危漏洞編號LDYVUL-2024-00777553、CVE-2024-9381漏洞類型路徑遍歷漏洞時間2024-10-0915:51:47在野利用存在360Ivanti3洞存在在野利用。FortinetFortiManager身份驗證缺陷漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00784142、CVE-2024-47575漏洞等級嚴(yán)重漏洞類型身份驗證缺陷漏洞時間2024-10-2414:35:10在野利用存在360Fortinet發(fā)布安全公告，修復(fù)了FortiManager個身份認(rèn)證缺陷漏洞，漏洞編號：CVE-2024-47575，漏洞危害等級：嚴(yán)重，F(xiàn)ortinet確認(rèn)該漏洞已被利用。該漏洞源于fgfmsd守護(hù)進(jìn)程中的認(rèn)證缺失缺陷，可能允許遠(yuǎn)程未采取防護(hù)措施。GoogleChromeDawn越界寫入漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00816331、CVE-2024-10487漏洞等級嚴(yán)重漏洞類型越界寫入漏洞時間2024-10-3015:57:13360GooogleChromeChromeDawn通過制作惡意的HTLM網(wǎng)頁問價你，并誘導(dǎo)受害者訪問以利用該漏洞，成功利用可能導(dǎo)致程序崩潰、敏感信息泄露或任意代碼執(zhí)行。VmwareSpringSecurity訪問控制不當(dāng)漏洞可致功能失控漏洞編號LDYVUL-2024-00815145、CVE-2024-38821漏洞等級嚴(yán)重漏洞類型訪問控制不當(dāng)漏洞時間2024-10-3115:47:48360VMwareSpringSecurity中的訪問控制不當(dāng)漏洞，在某些情況下，SpringWebFlux應(yīng)用程序在靜態(tài)資源上使用SpringSecuritySpringSecurity授權(quán)規(guī)則的訪問控制。IvantiEndpointManagerSQL注入漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00821723、CVE-2024-50330漏洞等級嚴(yán)重漏洞類型SQL注入漏洞時間2024-11-1417:15:14360Lvanti發(fā)布安全公告，修復(fù)了IvantiEndpointManager存在GetComputerIDSQL注入遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號：CVE-2024-50330，漏洞危害等級：嚴(yán)重。漏洞原因是在構(gòu)建SQL攻擊者在受影響的安裝上執(zhí)行任意代碼，且無需身份驗證。Ivanti已發(fā)布更新來糾正此漏洞，建議受影響用戶請及時升級到安全版本。寶蘭德BES管理控制臺未授權(quán)反序列化漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00822901漏洞等級嚴(yán)重漏洞類型反序列化漏洞時間2024-11-1810:55:16360BESSpark該漏洞繞過反序列化黑名單限制，在服務(wù)器上執(zhí)行任意代碼，獲取服務(wù)器權(quán)限。ApacheOFBiz服務(wù)器端請求偽造(SSRF)漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00822929、CVE-2024-47208漏洞等級中危漏洞類型服務(wù)器端請求偽造(SSRF)漏洞時間2024-11-1816:08:14360漏洞云監(jiān)測到ApacheOFBiz官方發(fā)布安全公告，修復(fù)漏洞中包括一個服務(wù)器端請求偽造漏洞，該漏洞表現(xiàn)為URL允許遠(yuǎn)程使用Groovy表達(dá)式，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）。受影響的版本為ApacheOFBiz在18.12.17之前的版本。建議用戶升級到18.12.17版本以修復(fù)該問題。PaloAltoNetworksPAN-OSWeb管理界面權(quán)限管理不當(dāng)漏洞可致權(quán)限失控漏洞編號LDYVUL-2024-00823214、CVE-2024-0012漏洞等級高危漏洞編號LDYVUL-2024-00823214、CVE-2024-0012漏洞類型權(quán)限管理不當(dāng)漏洞時間2024-11-1910:54:18在野利用存在360PaloAltoNetworks發(fā)布安全公告，披露了了PAN--OS管理界面中存在認(rèn)證繞過漏洞，未經(jīng)身份驗證的攻擊者如果能夠訪問管理Web界面，就可能獲得PAN-OS洞可實現(xiàn)系統(tǒng)的完全控制。若按照推薦的最佳實踐部署指南，將管理Web界面的訪問限制為僅受信任的內(nèi)部IP受影響用戶及時升級到安全版本。7-zip整數(shù)溢出漏洞可致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00829381、CVE-2024-11477漏洞等級高危漏洞類型整數(shù)溢出漏洞時間2024-11-2510:34:213607-Zip導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞，此漏洞允許遠(yuǎn)程攻擊者在受影響的7-Zip安裝程序中執(zhí)行任意代碼。具體的缺陷存在于Zstandard7-Zip7-Zip，及時采取防護(hù)措施。Zabbix需授權(quán)SQL注入漏洞漏洞編號LDYVUL-2024-00831380、CVE-2024-42327漏洞等級嚴(yán)重漏洞類型SQL注入漏洞時間2024-11-2818:05:17360ZabbixZabbixSQL，ZabbixCUseraddRelatedObjectssqlH3CSecCenterSMP未授權(quán)輸入驗證不當(dāng)漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00831821漏洞等級嚴(yán)重漏洞類型輸入驗證不當(dāng)漏洞時間2024-11-2914:29:58360H3C的攻擊者可以通過該漏洞上傳文件獲取服務(wù)器控制權(quán)限。SonicWallSMA100SSLVPNweb管理頁面緩沖區(qū)溢出漏洞漏洞編號LDYVUL-2024-00833851、CVE-2024-45318漏洞等級高危漏洞類型緩沖區(qū)溢出漏洞時間2024-12-0617:14:44360SonicWallSonicWallSMA100SSLVPNweb本，建議受影響用戶及時升級到安全版本。OpenWrtAttendedSysUpgrade/Asu命令注入漏洞漏洞編號LDYVUL-2024-00834609、CVE-2024-54143漏洞等級高危漏洞編號LDYVUL-2024-00834609、CVE-2024-54143漏洞類型命令注入漏洞時間2024-12-1019:24:56360OpenWrtAttendedSysUpgradeOpenWrtAttendedSysUpgrademakeOpenWrtAttendedSysUpgrade成固件的用戶注意防范風(fēng)險。GitLabCE/EE需授權(quán)輸入驗證不當(dāng)漏洞可導(dǎo)致敏感信息泄露漏洞編號LDYVUL-2024-00837571、CVE-2024-11274漏洞等級高危漏洞類型輸入驗證不當(dāng)漏洞時間2024-12-1210:23:03360漏洞云監(jiān)測到Gitlab發(fā)布安全公告，修復(fù)了多個安全漏洞，其中包含一個GitLabEnterpriseEdition(EE)/CommunityEdition(CE)中的輸入驗證不當(dāng)漏洞，該漏洞源于當(dāng)在kubernetes代理響應(yīng)中注入網(wǎng)絡(luò)錯誤日志(NEL)標(biāo)頭時可能會導(dǎo)致會話數(shù)據(jù)泄露。ApacheStruts2文件上傳限制不當(dāng)漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00837193、CVE-2024-53677漏洞等級嚴(yán)重漏洞類型文件上傳限制不當(dāng)漏洞時間2024-12-1210:34:39360漏洞云監(jiān)測到ApacheStruts2發(fā)布安全公告，披露了一個文件上傳限制不當(dāng)漏ApacheStruts2Action器所替代，鑒于漏洞影響較大，建議受影響用戶及時采取防護(hù)措施。ApacheTomcat條件競爭漏洞可導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞編號LDYVUL-2024-00840174、CVE-2024-50379漏洞等級嚴(yán)重漏洞類型條件競爭漏洞時間2024-12-1811:21:50360ApacheTomcat特定非默認(rèn)情況下可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。當(dāng)默認(rèn)servlet可寫且文件系統(tǒng)(Windows統(tǒng))不區(qū)分大小寫時，在負(fù)載下對同一文件的并發(fā)讀取和上傳可能繞過Tomcat的大小寫敏感性檢查，使上傳的文件被視為JSP更新版本，建議受影響用戶及時升級到安全版本。WebminWebminCGI需授權(quán)命令注入漏洞漏洞編號LDYVUL-2024-00841990、CVE-2024-12828漏洞等級嚴(yán)重漏洞類型命令注入漏洞時間2024-12-2416:47:29360WebminCGI請求處理中的命令注入缺陷，軟件未正確清理用戶輸入。此漏洞需身份驗證，低權(quán)限用戶也可利用，Webmin官方已經(jīng)發(fā)布2.111到安全版本。ApacheHugeGraph-Server身份驗證缺陷漏洞漏洞編號LDYVUL-2024-00842093、CVE-2024-43441漏洞等級嚴(yán)重漏洞類型身份驗證缺陷漏洞時間2024-12-2710:59:41360漏洞云監(jiān)測到Apache軟件基金會披露了一個影響ApacheHugeGraph-Server的關(guān)鍵漏洞，此漏洞被評為“嚴(yán)重”級別，攻擊者可利用假定不變的數(shù)據(jù)繞過認(rèn)證機(jī)制，可能導(dǎo)致未經(jīng)授權(quán)訪問敏感圖數(shù)據(jù)和操作。HugeGraph團(tuán)隊已發(fā)布1.5.0版本進(jìn)行修復(fù)，強(qiáng)烈建議1.0到1.3版本的用戶立即升級到安全版本。此外，ApacheHugeGraph-Server在2024年4月還披露過另一個關(guān)鍵漏洞CVE-2024-27348，該漏洞允許在存在漏洞版本的ApacheHugeGraph-Server上實現(xiàn)遠(yuǎn)程代碼執(zhí)行，且存在在野利用。四、網(wǎng)絡(luò)安全熱點新聞1月19日消息，一個威脅行為者竊取了微軟高級領(lǐng)導(dǎo)團(tuán)隊成員以及網(wǎng)絡(luò)安全和法律團(tuán)2023年112024年1月12統(tǒng)，且此次攻擊不是微軟產(chǎn)品或服務(wù)的漏洞導(dǎo)致。聯(lián)邦調(diào)查局稱已“消除”黑客對SOHO2月15日消息，F(xiàn)BI表示在1月份的行動中破壞了黑客對Ubiquiti的小型辦公室/（SOHO）SOHO器的國家攻擊行動。俄羅斯情報機(jī)構(gòu)GRU的攻擊利用默認(rèn)管理員密碼在UbiquitiOS路由器上安裝惡意軟件，將數(shù)百臺路由器組成僵尸網(wǎng)絡(luò)，用于對俄羅斯政府感興趣的目標(biāo)進(jìn)行網(wǎng)絡(luò)釣魚和竊取憑證等活動，F(xiàn)BI通過法院授權(quán)在1司可能認(rèn)為自己不是國家攻擊者的目標(biāo)，但實際上越來越容易成為攻擊對象。ChangeHealthcare數(shù)據(jù)泄露事件影響超過1億人220，ChangeHealthcare發(fā)生數(shù)據(jù)泄露事件，影響超過1有史以來最大的醫(yī)療保健數(shù)據(jù)泄露事件。2月21日網(wǎng)絡(luò)攻擊擾亂其IT運營，超ALPHV/Blackcat息。ScreenConnect226，2024年2月13日，ConnectWise報告在其ScreenConnect中發(fā)現(xiàn)了漏洞，影響了云和本地實例。該公司通過ConnectWise信任中心通知了合作伙19日通知了ConnectWise80%的ScreenConnect20版本提供了回溯升級補(bǔ)丁。ConnectWise的CISOPatrickBeggsCiaranChu少本地合作伙伴在升級，并持續(xù)聯(lián)系未升級的用戶。28Blackcat和Alphv的網(wǎng)絡(luò)犯罪組織宣稱對ChangeHealthcare6TB的數(shù)據(jù)。UnitedHealthGroup的發(fā)言人表示公司已知曉此事并正在調(diào)查。此次攻擊擾亂了美國的藥店以及其他醫(yī)療設(shè)施和辦公室。此前UnitedHealth將攻擊歸因于一個國家威脅行為者，如今Blackcat的宣稱引發(fā)了質(zhì)疑。ChangeHealthcareUnitedHealth90%來減輕影響。CISA和RedHat就影響Linux29Hat警告稱XZ軟件的兩個最新版本（5.6.0和5.6.1）被植入了后門。XZUtils據(jù)壓縮軟件工具和庫，幾乎存在于每一個LinuxRedHat即停止使用任何FedoraRawhide實例，F(xiàn)edoraRawhide將很快恢復(fù)到xz-5.4.x本。CISA建議開發(fā)者和用戶將XZUtils降級到未受影響的版本（如XZUtilsStable），CISA報告。美國電話電報公司調(diào)查影響7000331AT&T70名當(dāng)前和前客戶的個人數(shù)據(jù)在暗網(wǎng)上被發(fā)現(xiàn)。AT&T發(fā)表聲明稱大約兩周前暗網(wǎng)上發(fā)布的數(shù)據(jù)集包含AT&T的特定數(shù)據(jù)字段，該數(shù)據(jù)集似乎來自2019年或更早，影響約760萬當(dāng)前賬戶持有者和約6540AT&TAscension9MyChart13.4萬名員工、3.5萬名附屬醫(yī)療服務(wù)提供者和140家醫(yī)院。SnowflakeMandiant10Mandiant165數(shù)據(jù)，其中針對Snowflake前已知有100名和密碼即可成功認(rèn)證。Mandiant脅行為者UNC5537，其利用竊取的客戶憑證系統(tǒng)地攻擊Snowflake罪論壇上出售受害者數(shù)據(jù)并試圖勒索受害者。CDKGlobal20，CDKGlobal是一家為數(shù)千家汽車經(jīng)銷商提供軟件的供應(yīng)商，在近日前CDK影響。CocoaPodsiOSmacOS擊1，E.V.AInformationSecuritySwiftObjective-CCocoa項目的CocoaPods應(yīng)鏈攻擊，使下游客戶面臨嚴(yán)重風(fēng)險。這些漏洞自2023年10月起已被CocoaPodsCVE-2024-38368CVE-2024-38366CVE-2024-38367CVE-2024-38366在Trunk服務(wù)器上運行任意代碼。此外，通過欺騙HTTP戶接管攻擊。AT&T1.09717，2024年4月，AT&T發(fā)生數(shù)據(jù)泄露事件，黑客獲取了約1.09億人的電話和短信記錄。此次事件影響了2022年5月1日至10月31日以及2023年1月2日期間幾乎所有移動客戶。雖電話和短信內(nèi)容未被獲取，但包括了AT&T有線用錄還包括一個或多個小區(qū)站點IDAT&TCrowdStrikeWindows19CrowdStrikeCrowdStrikeFalconSensor引發(fā)的。該更新被識別為ChannelFile291，包含一個邏輯錯誤，導(dǎo)致軟件驅(qū)動程序Windows850Windows理問題和基本服務(wù)中斷。14014狀態(tài)，以防范可能干擾奧運會組織委員會、票務(wù)系統(tǒng)或交通的攻擊。7月26日至8月11日期間，法國國家網(wǎng)絡(luò)安全機(jī)構(gòu)Anssi記錄了11922及體育、交通和電信基礎(chǔ)設(shè)施。8278月24日開始的IT的值機(jī)流程Wi-FiSEA9月28月24日首次報告“互聯(lián)網(wǎng)和網(wǎng)絡(luò)系統(tǒng)中斷”，隨后表示某些系統(tǒng)的中斷表明可能是網(wǎng)絡(luò)攻擊，并已隔離關(guān)鍵系統(tǒng)。BP17力培養(yǎng)，構(gòu)建全面網(wǎng)絡(luò)安全防御體系。SDP月21日消息，自2024年10月22日起，微軟威脅情報觀察到MidnightBlizzard文件的郵件，攻擊了100多個組織的數(shù)千個目標(biāo)。MidnightBlizzard主要針對歐美等IT測、查詢和威脅情報報告等資源。微軟、Meta22，MetaPlatforms、Microsoft（DoJ）MicrosoftAbanoubNady240ONNX2017ONNX（PhaaS）150六個月550術(shù)基礎(chǔ)設(shè)施。美國司法部宣布關(guān)閉PopeyeTools市場，該市場自2016年起出售被盜信1022.7萬人的信息并獲得至少170萬美元收入。Meta阿聯(lián)酋和菲律賓詐騙