2024年度网络安全漏洞分析报告.docx

目录

一、 漏洞云专家点评 1

漏洞数量激增对全球网络安全体系构成严峻挑战 1

年度漏洞数量显著增加，持续威胁网络安全 1

OA系统漏洞依然是攻防演练中的主要杀器 1

高频漏洞类型暴露常见技术缺陷 1

跨行业漏洞高发，关键领域安全亟待增强 2

供应链攻击与数据泄露成为网络安全的主要威胁 2

供应链攻击频发，加剧系统脆弱性 2

数据泄露事件规模空前，影响深远 2

勒索攻击与数据窃取手段多样化 2

全球网络安全法规与政策框架日益完善 3

数据保护与合规标准加速出台 3

AI与新兴技术的治理成为重点 3

鼓励白帽黑客与中小企业网络安全参与 3

全球化威胁与区域化事件并存，凸显网络安全国际合作的重要性 3

大型事件频发，影响关键基础设施 3

执法行动与国际合作成效初显 4

二、 漏洞整体态势综述 4

漏洞总量与趋势 4

人工深运营情报数据分析 5

漏洞披露时间分析 8

漏洞严重程度分析 9

漏洞类型分析 10

行业漏洞数据分析 12

受漏洞影响产品分析 13

三、 重点漏洞列表 15

GitlabGitlab访问控制不当漏洞 15

AtlassianConfluence未授权代码注入漏洞 15

IvantiConnectSecure需授权命令注入漏洞 16

Jenkins未授权路径遍历漏洞可导致敏感信息泄露 16

MinioMinio权限管理不当漏洞 16

IvantiConnectSecure权限管理不当漏洞 17

OracleWeblogicServer未授权代码注入漏洞 17

MicrosoftExchangeServer权限管理不当漏洞可导致权限提升 18

JetbrainsTeamcity身份验证缺陷漏洞 18

AppleMacos越界写入漏洞 18

AdobeColdFusion未授权任意文件读取漏洞 19

PaloAltoNetworksPan-Os未授权命令注入漏洞 19

OracleWeblogicServer未授权代码注入漏洞 20

凯京信达Kkfileview未授权文件上传限制不当漏洞 20

CrushFTP团队Crushftp未授权模板注入漏洞 20

GoogleChromeVisual释放后利用漏洞可导致程序崩溃 21

GoogleChrome越界写入 21

SonatypeNexusRepository未授权路径遍历漏洞 21

GoogleChrome类型混淆漏洞 22

FortinetFortiproxy越界写入漏洞可导致远程代码执行 22

CheckPointSecurityGateways未授权任意文件读取漏洞 22

ApacheOFBiz未授权路径遍历漏洞可导致远程代码执行 23

LinuxLinuxKernelUAF漏洞可致本地权限提升 23

ProgressSoftwareTelerikReportServer身份验证缺陷漏洞 23

PHPCGI代码注入漏洞 24

SolarWindsServU路径遍历漏洞 24

AdobeCommerce未授权外部实体注入漏洞 25

ZyxelNAS未授权命令注入漏洞 25

RejettoHTTPFileServer未授权代码注入漏洞 25

GeoServer未授权代码注入漏洞 26

ServiceNow未授权模板注入漏洞 26

ServiceNow未授权输入验证不当漏洞 26

1Panel未授权SQL注入漏洞 27

ApacheOFBiz未授权代码注入漏洞 27

MicrosoftEdge类型混淆漏洞 27

宝兰德软件BES管理控制台ejb未授权反序列化漏洞可致远程代码执行 28

GoogleChrome类型混淆漏洞 28

GoogleChromeUAF漏洞 29

MicrosoftWindows网络标记设计缺陷漏洞 29

MicrosoftWindowsInstaller权限管理不当漏洞可致权限提升 29

ZimbraCollaboration未授权命令注入漏洞 30

IvantiCloudServicesAppliance需授权命令注入漏洞 30

SpringCloudDataFlow反序列化漏洞可导致代码执行 31

WindowsMSHTMLPlatform编码不规范漏洞 31

IvantiCloudServiceAppliance未授权路径遍历漏洞