警惕風(fēng)險(xiǎn)突出的100個(gè)高危漏洞(下)
來源:國家網(wǎng)絡(luò)安全通報(bào)中心
高危漏洞是網(wǎng)絡(luò)系統(tǒng)可能被黑客利用以進(jìn)行非法訪問、數(shù)據(jù)竊取或系統(tǒng)破壞的嚴(yán)重安全缺陷。每一個(gè)操作系統(tǒng),、網(wǎng)絡(luò)應(yīng)用都可能存在這樣的漏洞。這些漏洞一旦被惡意利用,,將給網(wǎng)絡(luò)系統(tǒng)帶來極大的安全風(fēng)險(xiǎn),,可能影響網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行,甚至給網(wǎng)絡(luò)運(yùn)營者造成經(jīng)濟(jì)財(cái)產(chǎn)損失,。因此,及時(shí)發(fā)現(xiàn)并修復(fù)高危漏洞是保障網(wǎng)絡(luò)安全的重要措施,。公安機(jī)關(guān)網(wǎng)安部門從危害程度,、廣泛性,、漏洞利用形式、利用難度,、檢測難度等維度,,梳理出了100個(gè)突出的高危漏洞,,并在文末提出了重點(diǎn)防護(hù)建議,。廣大網(wǎng)絡(luò)運(yùn)營者應(yīng)對(duì)照排查自己的網(wǎng)絡(luò)系統(tǒng)是否存在相關(guān)漏洞,,及時(shí)修補(bǔ),,降低被利用的風(fēng)險(xiǎn)。
序號(hào) | 漏洞名稱 | 漏洞編號(hào) | 漏洞危害 |
51 | Apache Axis AdminService 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2019-0227 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
52 | Oracle WebLogic 反序列化漏洞 | CVE-2020-2551 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
53 | 多款Red Hat產(chǎn)品遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2015-7501 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
54 | Oracle WebLogic Server WLS 組件遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2018-3191 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
55 | Fastjson <1.2.83 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2022-25845 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
56 | Apache Solr遠(yuǎn)程代碼執(zhí)行漏洞 | CNVD-2023-27598 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
57 | Gitlab OmniAuth 賬號(hào)劫持漏洞 | CVE-2022-1162 | 可直接繞過認(rèn)證機(jī)制獲取敏感數(shù)據(jù) |
58 | WebLogic WLS 核心組件反序列化漏洞 | CVE-2018-2628 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
59 | Oracle WebLogic Server WLS Core 組件安全漏洞 | CVE-2018-2893 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
60 | JBoss Application Server JBossMQ JMS 反序列化漏洞 | CVE-2017-7504 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
61 | Oracle WebLogic Console HTTP 協(xié)議遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2020-14882 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
62 | Oracle Weblogic UniversalExtractor T3 反序列化漏洞 | CVE-2020-14645 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
63 | Oracle WebLogic Server 安全漏洞 | CVE-2020-14687 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
64 | Adobe ColdFusion 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2023-29300 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
65 | ThinkPHP lang參數(shù) 遠(yuǎn)程命令執(zhí)行漏洞 | CVE-2022-47945 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
66 | Atlassian Confluence 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2021-26084 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
67 | 大華智慧園區(qū)綜合管理平臺(tái)任意文件上傳漏洞 | CVE-2023-3836 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
68 | 帆軟報(bào)表 design_save_svg 任意文件覆蓋漏洞 | CNVD-2021-34467 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
69 | 禪道項(xiàng)目管理系統(tǒng) account 參數(shù)存在SQL注入漏洞 | CNVD-2022-42853 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
70 | Oracle WebLogic Server wls9-async 組件反序列化漏洞 | CVE-2019-2729 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
71 | Jenkins MetaClass 存在遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2018-1000861 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
72 | 華天動(dòng)力OA /ntkoupload.jsp 任意文件上傳漏洞 | CNVD-2022-54886 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
73 | F5 BIG-IP iControl REST device-stats 遠(yuǎn)程命令執(zhí)行漏洞 | CVE-2022-1388 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
74 | 泛微 e-office UploadFile.php文件上傳漏洞 | CNVD-2021-49104 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
75 | Atlassian Jira 授權(quán)問題漏洞 | CVE-2022-0540 | 可直接繞過認(rèn)證機(jī)制獲取敏感數(shù)據(jù) |
76 | 致遠(yuǎn)OA /seeyon/htmlofficeservlet 路徑任意文件寫入漏洞 | CNVD-2019-19299 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
77 | Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2022-22965 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
78 | Laravel Framework Debug 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2021-3129 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
79 | GitLab 任意用戶密碼重置漏洞 | CVE-2023-7028 | 可以通過重置用戶密碼接管代碼管理平臺(tái),,獲取敏感信息 |
80 | 用友NC BeanShell存在命令執(zhí)行漏洞 | CNVD-2021-30167 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
81 | JeecgBoot JimuReport 模板注入導(dǎo)致命令執(zhí)行漏洞 | CVE-2023-4450 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
82 | Nacos Jraft Hessian反序列漏洞 | CNVD-2023-45001 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
83 | GeoServer遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2024-36401 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
84 | polkit(pkexec)權(quán)限提升漏洞 | CVE-2021-4034 | 可導(dǎo)致低權(quán)限用戶提升權(quán)限并執(zhí)行管理操作 |
85 | Metabase H2 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2023-38646 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
86 | TeamCity認(rèn)證繞過漏洞 | CVE-2024-23917 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
87 | H2 Database控制臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2021-42392 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
88 | Windows TCP/IP 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2024-38063 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
89 | CrushFTP 服務(wù)器端模板注入漏洞 | CVE-2024-4040 | 可繞過身份驗(yàn)證獲得管理訪問權(quán)限,,泄露敏感信息或執(zhí)行代碼 |
90 | FortiGate SSL VPN 遠(yuǎn)程執(zhí)行命令漏洞 | CVE-2024-21762 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
91 | PHP CGI 參數(shù)注入遠(yuǎn)程執(zhí)行命令漏洞 | CVE-2024-4577 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
92 | Apache OFBiz路徑遍歷代碼執(zhí)行漏洞 | CVE-2024-36104 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
93 | Apache OfBiz 反序列化命令執(zhí)行漏洞 | CVE-2023-49070 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
94 | Rejetto HTTP File Server 遠(yuǎn)程代碼執(zhí)行漏洞 | CVE-2024-23692 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
95 | Nexus Repository 3 目錄遍歷與文件讀取漏洞 | CVE-2024-4956 | 可訪問任意的文件獲取敏感數(shù)據(jù) |
96 | Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞 | CVE-2024-3400 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
97 | 泛微E-Cology WorkflowServiceXml SQL注入漏洞 | QVD-2024-26136 | 可執(zhí)行任意SQL命令獲取敏感數(shù)據(jù) |
98 | Apache Solr Schema Designer 代碼執(zhí)行漏洞 | CVE-2023-50292 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
99 | Apache Zeppelin shell 代碼注入漏洞 | CVE-2024-31861 | 可直接遠(yuǎn)程控制相關(guān)服務(wù)器 |
100 | Zabbix Server Audit Log SQL 注入漏洞 | CVE-2024-22120 | 可執(zhí)行任意SQL命令獲取敏感數(shù)據(jù) |
安全防護(hù)提示
一、升級(jí)軟件和更新補(bǔ)丁
1,、跟蹤軟件安全更新:持續(xù)跟蹤并評(píng)估軟件供應(yīng)商發(fā)布的安全更新信息,。
2、持續(xù)掃描探測:利用自動(dòng)化工具定期對(duì)系統(tǒng)進(jìn)行掃描,,識(shí)別缺失的安全補(bǔ)丁和更新,。
3、更新管理流程規(guī)范化:建立規(guī)范的更新管理流程,,確保所有安全更新和補(bǔ)丁的安裝配置均經(jīng)過測試和審批,。
4,、定期安全審計(jì):加強(qiáng)對(duì)開源軟件組件,、通用軟硬件風(fēng)險(xiǎn)排查,定期對(duì)系統(tǒng)數(shù)據(jù)庫,、中間件,、網(wǎng)絡(luò)設(shè)備等進(jìn)行全面的安全審計(jì),發(fā)現(xiàn)防護(hù)缺陷和邏輯漏洞,。
二,、強(qiáng)化邊界防護(hù)
1、加固路由器與防火墻:明確網(wǎng)絡(luò)連接點(diǎn),,嚴(yán)格限制訪問控制列表,,防止未授權(quán)訪問。優(yōu)化升級(jí)應(yīng)用防火墻,、流量檢測等安全防護(hù)設(shè)備規(guī)則庫,。定期更新固件,禁用無關(guān)服務(wù),,減少漏洞攻擊面,。
2、強(qiáng)化代理與網(wǎng)關(guān)安全:優(yōu)化代理和網(wǎng)關(guān)配置,,過濾惡意流量,,阻擋潛在漏洞利用的威脅。使用高級(jí)代理檢查加密流量,,配置郵件網(wǎng)關(guān)過濾垃圾郵件和惡意附件,。
3,、更新威脅情報(bào):定期更新防火墻和網(wǎng)關(guān)設(shè)備的威脅情報(bào)庫,保持防護(hù)有效性,,及時(shí)應(yīng)對(duì)新型漏洞攻擊手法,。
4、日志監(jiān)控與審計(jì):集中監(jiān)控和分析邊界設(shè)備日志,,及時(shí)發(fā)現(xiàn)攻擊行為,。利用安全信息與事件管理系統(tǒng)整合日志,識(shí)別異常并自動(dòng)響應(yīng),。
三,、監(jiān)測與加固內(nèi)網(wǎng)
1、持續(xù)漏洞掃描與評(píng)估:部署漏洞掃描工具,,定期掃描內(nèi)網(wǎng)關(guān)鍵系統(tǒng),,識(shí)別并優(yōu)先修復(fù)高危漏洞。
2,、網(wǎng)絡(luò)流量監(jiān)控與分析:實(shí)時(shí)監(jiān)控外聯(lián)訪問行為,,檢測異常行為,防止被植入木馬后門,。
3,、用戶行為監(jiān)控:監(jiān)控用戶在內(nèi)網(wǎng)的操作行為,識(shí)別異?;顒?dòng)和潛在的風(fēng)險(xiǎn)行為,,定時(shí)分析用戶行為模式,及時(shí)發(fā)現(xiàn)并處理不符合安全策略的行為,。
4,、內(nèi)網(wǎng)資產(chǎn)管理:維護(hù)內(nèi)網(wǎng)資產(chǎn)清單,確保設(shè)備和應(yīng)用受控,,減少安全風(fēng)險(xiǎn),。
5、系統(tǒng)加固與配置優(yōu)化:調(diào)整系統(tǒng)配置,,實(shí)施訪問控制和最小權(quán)限原則,。定期進(jìn)行系統(tǒng)基線檢查,確保配置符合安全標(biāo)準(zhǔn),。
四,、加強(qiáng)終端防護(hù)
1、終端安全管理:在終端設(shè)備上安裝安全檢測工具,,實(shí)時(shí)監(jiān)控和處理潛在威脅,。確保漏洞庫及時(shí)更新,并嚴(yán)格執(zhí)行保護(hù)策略,防止設(shè)備受到攻擊,。2,、數(shù)據(jù)加密與防泄漏:對(duì)敏感數(shù)據(jù)進(jìn)行全面加密,防止在設(shè)備丟失或被盜時(shí)數(shù)據(jù)泄露,。限制數(shù)據(jù)存放位置,,避免在網(wǎng)站目錄下直接存儲(chǔ)備份文件或包含敏感信息的文檔。3,、用戶行為控制:限制風(fēng)險(xiǎn)操作,,防止安裝未授權(quán)的軟件和訪問可疑網(wǎng)站。實(shí)施防范社會(huì)工程攻擊的措施,,如識(shí)別虛假信息和防止信息泄露,。
位置: