信息安全漏洞周报【第002期】
信息安全漏洞周报【第002期】
零零捌信安观察 银天信息 2024-12-20 03:55
点击蓝字 关注我们
零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。
目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。
收录的漏洞详细信息如下:
1、Google Chrome 安全绕过漏洞
|
公开时间 |
2024-12-18 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2024-48384 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
|
||
|
影响产品 |
|
||
|
解决方案 |
|
||
|
参考链接 |
https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-05 |
||
2、IBM App Connect Enterprise操作系统命令注入漏洞****
|
公开时间 |
2024-12-10 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2024-47514 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合,提供一个可满足现代数字企业全面集成需求的平台。 IBM App Connect Enterprise Certified Container存在操作系统命令注入漏洞。该漏洞是由于受影响版本未能正确地中和或错误地中和用户可控输入,导致攻击者可以注入恶意脚本或代码。攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。 |
||
|
影响产品 |
IBM IBM App Connect Enterprise Certified |
||
|
解决方案 |
https://www.ibm.com/support/pages/node/7177814 |
||
| 参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2024-51465 | ||
3、Apache Tomcat远程代码执行漏洞
|
公开时间 |
2024-12-19 |
风险等级 |
高危 |
|
漏洞编号 |
CNVD-2024-48575 |
漏洞来源 |
CNVD |
|
漏洞信息 |
|||
|
漏洞描述 |
Apache Tomcat中存在远程代码执行漏洞,该漏洞是由于web.xml中开启readonly为false的配置,攻击者可利用该漏洞以条件竞争进行文件上传导致命令执行。 |
||
| 影响产品 | Apache Tomcat >=11.0.0-M1,<=11.0.1 Apache Tomcat >=10.1.0-M1,<=10.1.33 Apache Tomcat >=9.0.0.M1,<=9.0.97 |
||
| 解决方案 | 用户可参考如下供应商提供的安全公告获得补丁信息: https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r |
||
|
参考链接 |
|
||
**技术支持:
400-996-5191 转 3
编辑:邹聪成
校对:周晶晶
审核:李孔民