腾讯云安全中心推出2024年12月必修安全漏洞清单
腾讯云安全中心推出2024年12月必修安全漏洞清单
原创 腾讯云安全中心 安全攻防团队 2025-01-15 02:02
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2024年12月份必修安全漏洞清单:
一、Apache Struts2 文件上传漏洞(CVE-2024-53677)
二、Apache Tomcat 条件竞争导致远程代码执行漏洞
(CVE-2024-50379)
三、
Apache Tomcat 条件竞争导致远程代码执行漏洞(CVE-2024-56337)
四、Windows轻量级目录访问协议(LDAP)远程代码执行
漏洞(CVE-2024-49112)
五、
Windows轻量级目录访问协议(LDAP)拒绝服务
漏洞(CVE-2024-49113)
六、Craft CMS 远程代码执行
漏洞(CVE-2024-56145)
七、CyberPanel 远程代码执行漏洞(CVE-2024-53376)
八、Adobe ColdFusion 路径遍历漏洞(CVE-2024-53961)
九、SonicWall SMA100 SSLVPN WEB管理页 缓冲区溢出漏洞(CVE-2024-45318)
漏洞介绍及修复建议详见后文
一、Apache Struts2文件上传漏洞(S2-067)
概述:
腾讯云安全近期监测到Apache官方发布了关于Struts2的风险公告,漏洞编号:TVD-2024-35085 (CVE编号:CVE-2024-53677,CNNVD编号:CNNVD-202412-1393)。成功利用此漏洞的攻击者,最终可上传任意文件,最终远程执行代码。
Apache Struts2是一个基于MVC设计模式的Web应用框架,用于简化Java EE Web应用的开发。它结合了Struts 1和WebWork框架的优点,提供了清晰的MVC实现,帮助开发者将应用程序分为模型、视图和控制器三个部分,从而提高代码的可维护性和可复用性。Struts 2的核心组件包括Action类、struts.xml配置文件和拦截器,支持灵活的配置、强大的功能扩展和便捷的表单处理。
据描述,该漏洞源于Apache Struts2中的FileUploadInterceptor类存在代码缺陷,攻击者可以控制文件上传参数,并使用路径遍历绕过安全限制,在某些情况下可以利用该漏洞上传恶意文件,最终远程执行任意代码。
P.S:不使用FileUploadInterceptor开发的应用程序不受该漏洞影响。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
2.0.0 <= Apache Struts <= 2.3.37
2.5.0 <= Apache Struts <= 2.5.33
6.0.0 <= Apache Struts <= 6.3.0.2
修复建议:
1
.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://struts.apache.org/download.cgi#struts670
- 临时缓解方案:
使用ActionFileUploadInterceptor替换FileUploadInterceptor进行文件上传,具体参考官方文档:
https://struts.apache.org/core-developers/action-file-upload-interceptor
二、Apache Tomcat 条件竞争导致远程代码执行漏洞(CVE-2024-50379)
概述:
腾讯云安全近期监测到Apache官方发布了关于Tomcat的风险公告,漏洞编号为TVD-2024-35915 (CVE编号:CVE-2024-50379,CNNVD编号:CNNVD-202412-2256)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Tomcat是一款开源的Java Servlet容器,由Apache软件基金会维护。它实现了Java Servlet和JavaServer Pages(JSP)技术规范,用于提供基于Web的应用程序服务。Tomcat以其稳定性、高性能和灵活性而广受好评,常被用作构建企业级Web应用的基础平台。它支持多种操作系统和硬件平台,能够轻松处理并发请求,并提供了丰富的配置选项和管理工具,方便开发者进行定制和维护。
据描述,该漏洞是由于Tomcat的文件路径校验逻辑存在缺陷。当在不区分大小写的系统(如Windows)上启用了servlet的写入功能(此功能默认关闭)时,攻击者可以构造请求绕过Tomcat的路径校验机制,通过条件竞争不断上传并访问包含恶意JSP代码的文件,触发Tomcat对其解析和执行,最终实现远程代码执行。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
9.0.0-M1 <= Apache Tomcat < 9.0.98
10.1.0-M1 <= Apache Tomcat < 10.1.34
11.0.0-M1 <= Apache Tomcat < 11.0.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-10.cgi
https://tomcat.apache.org/download-11.cgi
-
临时缓解方案:
-
将配置文件中的 readonly 参数设置为 true
-
禁用PUT方法
三、Apache Tomcat 条件竞争导致远程代码执行漏洞(CVE-2024-56337)
概述:
腾讯云安全近期监测到Apache官方发布了关于
Tomcat
的风险公告,漏洞编号为TVD-2024-36233 (CVE编号:CVE-2024-56337,CNNVD编号:CNNVD-202412-2573)。成功利用此漏洞的攻击者,最终可
远程执行任意代码
。
该漏洞是由于Tomcat官方对CVE-2024-50379的修复不完善,当servlet配置为允许写入访问,操作系统与Tomcat的路径大小写处理不一致且系统属性sun.io.useCanonCaches为true时,攻击者可以构造请求绕过Tomcat的路径校验机制,通过条件竞争不断上传并访问包含恶意JSP代码的文件触发Tomcat对其解析和执行,最终实现远程代码执行。
P.S. Jаvа8和Jаvа11的sun.io.useCanonCaches属性默认为truе,Jаvа17的sun.io.useCanonCaches 属性默认为fаlѕе,Jаvа21 及更高版本不受此漏洞影响。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
9.0.0-M1 <= Apache Tomcat <= 9.0.98
10.1.0-M1 <= Apache Tomcat <= 10.1.34
11.0.0-M1 <= Apache Tomcat <= 11.0.2
修复建议:
-
官方暂未发布漏洞补丁及修复版本,请持续关注官网,待补丁及修复版本发布后评估业务是否受影响,酌情升级至安全版本。
-
临时缓解方案:
-
将配置文件中的 readonly 参数设置为 true
-
禁用PUT方法
-
将sun.io.useCanonCaches设置为false
四、Windows 轻量级目录访问协议(LDAP)远程代码执行漏洞
概述:
腾讯云安全近期监测到Microsoft官方发布了关于Windows的风险公告,漏洞编号为TVD-2024-35149 (CVE编号:CVE-2024-49112,CNNVD编号:CNNVD-202412-1333),成功利用此漏洞的攻击者,最终可
远程执行任意代码
。
Windows是由微软公司开发的一款图形用户界面操作系统,广泛应用于个人电脑、服务器和移动设备等领域。自1985年首次发布以来,Windows系统经过多次迭代,从Windows 1.0到最新的Windows 11,不断引入新功能和改进用户界面,提升用户体验和系统性能。Windows系统以其易用性、广泛的软件支持和强大的多任务处理能力而受到用户的青睐,是全球最流行的操作系统之一。
据描述,该漏洞源于Windows中的轻量级目录访问协议(LDAP)存在代码缺陷,攻击者可以通过发送特制的恶意请求,最终执行远程代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49112
五、Windows 轻量级目录访问协议(LDAP)拒绝服务漏洞
概述:
腾讯云安全近期监测到Microsoft官方发布了关于Windows的风险公告,漏洞编号为TVD-2024-35214 (CVE编号:CVE-2024-49113,CNNVD编号:CNNVD-202412-1336),成功利用此漏洞的攻击者,最终可导致信息泄露或服务器崩溃。
据描述,该漏洞源于windows中的wldap32.dll文件存在整数溢出漏洞,攻击者可以通过发送特制的DCE/RPC调用,诱使目标服务器连接恶意LDAP服务器发起查询请求,最终导致信息泄露或拒绝服务。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems****
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49113
-
临时缓解方案:
-
将域控制器配置为不可访问互联网
-
不允许来自不受信任网络的入站RPC请求
六、Craft CMS 远程代码执行漏洞
概述:
腾讯云安全近期监测到关于
Craft CMS
的风险公告,漏洞编号为
TVD-2024-36083 (CVE
编号:
CVE-2024-56145
,
CNNVD
编号:
CNNVD-202412-2406)
。成功利用此漏洞的攻击者,最终可远程执行代码。
Craft CMS
是一款内容管理系统,它以简洁的操作界面助力非技术人员轻松创建、编辑和发布内容,凭借高度灵活的内容结构定义能力适应多种需求,通过支持多种前端框架实现高度定制化,拥有良好的性能表现确保快速响应,依靠丰富的插件生态拓展功能边界,从而可用于构建新闻网站、博客平台、企业官网等多种类型的网站。
据描述,该漏洞源于
Craft CMS存在代码缺陷,当
php.ini配置文件中
register_argc_argv设置为
on时,攻击者可以通过构造特制的请求使
Craft CMS 加载远程
FTP服务器上的恶意模板文件,触发模板注入,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
3.0.0 <= Craft CMS < 3.9.14
4.0.0-RC1 <= Craft CMS < 4.13.2
5.0.0-RC1 <= Craft CMS < 5.5.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/craftcms/cms/releases
-
临时缓解方案:
-
将
php配置中的
register_argc_argv设置为
off
七、CyberPanel 远程代码执行漏洞
概述:
腾讯云安全近期监测到关于CyberPanel的风险公告,漏洞编号为TVD-2024-35669 (CVE编号:CVE-2024-53376,CNNVD编号:CNNVD-202412-2019)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
CyberPanel是一款基于OpenLiteSpeed的开源Web管理面板,专为Linux服务器设计,支持一键安装多种Web应用程序(如WordPress、Joomla、Drupal等),并提供丰富的功能如多用户支持、自动化SSL证书管理、FTP服务器、轻量级DNS服务器、PHPMyAdmin、邮件支持、文件管理器、PHP管理、防火墙、一键备份与恢复等,旨在提供快速、高效且用户友好的建站体验。
据描述,该漏洞源于CyberPanel中的submitWebsiteCreation函数对用户输入参数的处理存在缺陷,具有登陆权限的攻击者可通过phpSelection参数拼接恶意命令并通过OPTIONS请求绕过安全检查,最终执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
CyberPanel < 2.3.8
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
-
临时缓解方案:
-
禁止
OPTIONS请求
八、Adobe ColdFusion 路径遍历漏洞****
概述:
腾讯云安全近期监测到关于
Adobe官方发布了关于
ColdFusion的风险公告,漏洞编号为
TVD-2024-36357 (CVE编号:
CVE-2024-53961,
CNNVD编号:
CNNVD-202412-2670)。成功利用此漏洞的攻击者,可读取服务器的任意文件。
Adobe ColdFusion
是一款由美国
Adobe公司开发的动态
Web服务器产品,它也是一个商用的快速应用程式开发平台。
ColdFusion最初是为了创建能与数据库连接的网站而开发的,后来逐渐发展成为一个全面的开发平台,支持
CFML(
ColdFusion Markup Language)脚本语言。
据描述,该漏洞源于
ColdFusion存在代码缺陷,未经授权的远程攻击者可以通过发送特制的请求绕过应用程序的访问限制,最终读取服务器上的任意文件。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
ColdFusion 2021 <= Update 17
ColdFusion 2023 <= Update 11
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html
-
临时缓解方案:
-
利用安全组设置仅对可信地址开放
九、SonicWall SMA100 SSLVPN WEB管理页缓冲区溢出漏洞
概述:
腾讯云安全近期监测到SonicWall发布了关于SonicWall SMA100 SSLVPN的风险公告,漏洞编号为TVD-2024-34378 (CVE编号:CVE-2024-45318,CNNVD编号:CNNVD-202412-487)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
SonicWall SMA100 SSLVPN是一款由SonicWall公司推出的功能强大且部署灵活的安全移动接入(SMA)解决方案。它支持多因素认证(MFA)和基于身份的访问控制,旨在为远程用户提供加密访问和全面的安全防护,适用于企业、政府及教育机构等多种场景。
据描述,该漏洞源于SonicWall SMA100 SSLVPN存在代码缺陷,攻击者可以通过向SonicWall SMA100 SSLVPN的WEB管理页发送特制的请求触发堆栈缓冲区溢出,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
SonicWall SMA100 SSLVPN <= 10.2.1.13-72sv
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.sonicwall.com/zh-cn/support
-
临时缓解方案:
-
利用安全组设置仅对可信地址开放
*** 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。**
*** 漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。**
通用的漏洞修复、防御方案建议
腾讯云安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:
https://s.tencent.com/research/report/157
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。