雷神众测漏洞周报2025.3.10-2024.3.16

发布于 作者:

雷神众测漏洞周报2025.3.10-2024.3.16

原创 雷神众测 雷神众测 2025-03-17 17:45

摘要

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。

目录

1.Apache Tomcat存在远程代码执行漏洞

2.Google Chrome代码执行漏洞

3.Esri ArcGIS Server文件包含漏洞

4.Google Chrome信息泄露漏洞

漏洞详情

1.Apache Tomcat存在远程代码执行漏洞

漏洞介绍:

Apache是Web服务器,Tomcat是应用(Java)服务器,它只是一个Servlet(JSP也翻译成Servlet)容器,可以认为是Apache的扩展,但是可以独立于Apache运行。

漏洞危害:

当Tomcat开启Put(Tomcat conf/web.xml配置文件中初始化参数readonly配置为false)、配置了session文件形式保存且目标环境存在相关可利用依赖条件的情况下攻击者可以通过上传恶意session文件实现远程代码执行。

漏洞编号:

CVE-2025-24813

影响范围:

9.0.0.M1 <= Apache Tomcat <= 9.0.98

10.1.0-M1 <= Apache Tomcat <= 10.1.34

11.0.0-M1 <= Apache Tomcat <= 11.0.2

修复方案:

及时测试并升级到最新版本或升级版本

来源:安恒信息CERT

2.Google Chrome代码执行漏洞

漏洞介绍:

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

漏洞危害:

Google Chrome 132.0.6834.83之前版本存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

漏洞编号:

CVE-2025-0439

影响范围:

Google Chrome <132.0.6834.83

修复方案:

及时测试并升级到最新版本或升级版本

来源:
CNVD

3.Esri ArcGIS Server文件包含漏洞

漏洞介绍:

Esri ArcGIS Server是Esri公司的一个面向Web的可用于提供地理位置服务的企业级软件平台。

漏洞危害:

Esri ArcGIS Server 10.9.1至11.3版本存在文件包含漏洞,该漏洞源于未对本地文件资源的调用做有效过滤,远程未认证攻击者可利用此漏洞读取内部文件。

漏洞编号:

CVE-2024-51961

影响范围:

ESRI ArcGIS Server >=10.9.1,<=11.3

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

4.Google Chrome信息泄露漏洞

漏洞介绍:

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

漏洞危害:

Google Chrome 134.0.6998.88之前版本存在信息泄露漏洞,该漏洞源于V8中的越界读取,攻击者可利用该漏洞获取敏感信息。

漏洞编号:

CVE-2025-2137

影响范围:

Google Chrome <134.0.6998.88

修复方案:

及时测试并升级到最新版本或升级版本

来源:CNVD

专注渗透测试技术

全球最新网络攻击技术

END