热门搜索：

2024攻防演练HW必修高危漏洞集合v1.0

信息技术2024-06-25-斗象科技李***

AI智能总结

高危漏洞汇总与自查指南

前言

高危漏洞在企业网络安全中构成严重威胁，尤其是在即将进行的攻防演练中，红队常利用这些漏洞作为突破点。为帮助企业做好准备，斗象情报中心整合了2024年3月至5月间在攻防演练中被红队频繁利用的高危漏洞，发布了一份详细的《2024HW必修高危漏洞集合》。这份报告旨在帮助企业提前识别并应对可能的漏洞风险，降低因高危漏洞导致的安全事件。

漏洞汇总

1. 远程代码执行漏洞

涉及厂商：YzmCMS、畅捷通、pgAdmin、泛微、锐捷、奇安信
漏洞数量：6个

2. 文件上传漏洞

涉及厂商：泛微、用友、致远、奇安信
漏洞数量：6个

3. 不安全的反序列化漏洞

涉及厂商：畅捷通、用友、金蝶
漏洞数量：3个

4. 其他漏洞

类型：命令执行、JNDI注入
涉及厂商：金山、用友

自查高危详情

YzmCMSpay_callback.html远程代码执行漏洞
- 描述：YzmCMS的特定页面存在远程代码执行风险。
- 影响版本：YzmCMS4
- 检测规则：斗象智能安全PRS已支持检测。
畅捷通T+App_Code.ashx远程命令执行漏洞
- 描述：畅捷通应用存在远程命令执行漏洞。
- 影响版本：畅捷通T+
- 检测规则：斗象智能安全PRS已支持检测。
pgAdmin远程代码执行漏洞
- 描述：pgAdmin版本<=6.16存在远程代码执行风险。
- 影响版本：pgAdmin<=6.16
- 检测规则：斗象智能安全PRS已支持检测。
泛微E-Office10atuh-file远程代码执行漏洞
- 描述：泛微E-Office10存在远程代码执行漏洞。
- 影响版本：v10.0_20180516<v10.0_20240222
- 检测规则：斗象智能安全PRS已支持检测。
锐捷EWEBauth远程代码执行漏洞
- 描述：锐捷EWEBauth接口存在远程代码执行风险。
- 影响版本：锐捷EWEB
- 检测规则：斗象智能安全PRS已支持检测。
网神SecGate3600防火墙sysToolsDetectNet.cgi远程代码执行漏洞
- 描述：网神SecGate3600防火墙存在远程代码执行漏洞。
- 影响版本：网神SecGate3600防火墙
- 检测规则：斗象智能安全PRS已支持检测。

自查与修复建议

详细步骤：参考文档中的每项漏洞的具体描述，执行相应的检测和修复措施。例如，对于某些漏洞，可以通过更新到指定的安全版本或通过特定的访问控制策略来减轻风险。

持续关注与更新

更新计划：斗象智能安全PRS将持续更新漏洞检测规则，确保及时发现和应对新的安全威胁。

这份报告提供了对高危漏洞的详细描述和检测方法，旨在帮助企业在攻防演练前进行自我风险排查，采取有效措施保护网络安全。

一、前言高危风险漏洞一直是企业网络安全防护的薄弱点，也成为HW攻防演练期间红队的重要突破口；每年HW期间爆发了大量的高危风险漏洞成为红队突破网络边界防护的一把利器，很多企业因为这些高危漏洞而导致整个防御体系被突破、甚至靶标失守而遗憾出局。 HW攻防演练在即，斗象情报中心依托漏洞盒子的海量漏洞数据、情报星球社区的一手漏洞情报资源以及Freebuf安全门户的安全咨询进行分析整合，输出HW必修高危漏洞手册，意在帮助企业在HW攻防演练的前期进行自我风险排查，降低因高危漏洞而“城池失守”的风险。本次报告整合了自2024年3月份至2024年5月份在攻防演练被红队利用最频繁且对企业危害较高的漏洞，包含了详细的漏洞基础信息、检测规则和修复方案，企业可根据自身资产信息进行针对性的排查、配置封堵策略和漏洞修复相关工作。《2024HW必修高危漏洞集合》预计将发布三期第一期《2024HW必修高危漏洞集合_1.0》收录2024年3月-2024年5月第二期《2024HW必修高危漏洞集合_2.0》收录2023年12月-2024年2月第三期《2024HW必修高危漏洞集合_3.0》收录2023年8月-2023年11月斗象智能安全PRS已支持详细检测规则，如需要协助请联系：400-156-98662024HW必修高危漏洞集合持续更新中，请持续关注。二、漏洞汇总数据本文档为斗象发布的《2024HW必修高危漏洞集合_1.0》对自2024年3月以来截止到目前在攻防演练过程红队利用率比较高的漏洞进行总结汇总，具体的数据如下所示： 远程代码执行漏洞漏洞数量：6个涉及厂商：YzmCMS、畅捷通、pgAdmin、泛微、锐捷、奇安信、 文件上传漏洞数量：6个涉及厂商：泛微、用友、致远、奇安信 不安全的反序列化漏洞数量：3个涉及厂商：畅捷通、用友、金蝶 其他漏洞数量：2 漏洞类型：命令执行，JNDI注入涉及厂商：金山、用友以下为本次高危漏洞自查列表：漏洞名称漏洞类型所属厂商影响版本 YzmCMSpay_callback.html远程代码执行漏洞远程代码执行 YzmCMS YzmCMS 畅捷通T+App_Code.ashx远程命令执行漏洞远程命令执行畅捷通畅捷通T+ pgAdmin远程代码执行漏洞远程代码执行 pgAdmin pgAdmin<=6.16 泛微E-Office10atuh-file远程代码执行漏洞远程代码执行漏洞泛微 v10.0_20180516< E-Office10<v10.0_20240222 锐捷EWEBauth远程代码执行漏洞远程代码执行漏洞锐捷锐捷EWEB 网神SecGate3600防火墙sysToolsDetectNet.cgi 远程代码执行漏洞远程代码执行漏洞奇安信网神SecGate3600防火墙泛微OAe-office webservice任意文件上传漏洞任意文件上传泛微泛微OAe-office 用友-U8-CRM swfupload文件上传漏洞任意文件上传用友用友-U8-CRM 泛微E-Officemobile_upload_save任意文件上传漏洞任意文件上传泛微泛微E-Office9.5 致远互联OAfileUpload.do文件上传漏洞任意文件上传致远致远A8V5.x致远A6V5.x致远A8N 致远G6 致远G6N 网神SecGate3600防火墙import_save任意文件上传漏洞任意文件上传奇安信网神SecGate3600防火墙用友NC-ClouddoPost任意文件上传漏洞任意文件上传用友用友NC-Cloud 用友GRP-U8 不安全的反用友用友GRP-U8 VerifyToken反序列化漏洞序列化畅捷通T+Ufida.T.DI.UIP.RRA.R RATableController反序列化漏洞不安全的反序列化畅捷通畅捷通T+ 金蝶云星空ServiceGateway.GetServiceUri.common反序列化不安全的反序列化金蝶金蝶云星空金山V8终端安全系统 pdf_maker.php命令执行漏洞命令执行金山金山V8终端安全系统用友NC-CloudPMCloudDriveProjectStateServletJNDI注入漏洞 JNDI注入漏洞用友用友NC-Cloud 三、自查高危详情 3.1YzmCMSpay_callback.html远程代码执行漏洞 1)漏洞描述 YzmCMS采用面向对象方式自主研发的YZMPHP框架开发，它是一款开源高效的内容管理系统，产品基于PHP+Mysql架构，可运行在Linux、Windows、MacOSX、Solaris等各种平台上。 YzmCMS存在远程代码执行漏洞，未经身份验证的远程攻击者可利用此漏洞执行任意系统命令。 2)披露时间 2024年5月6日 3)影响版本 YzmCMS 4)检测规则检测流量中是否存在以下路径：/pay/index/pay_callback.html 斗象智能安全PRS最新规则已支持检测，如有疑问可联系售后支持。 5)修复方案厂商已发布了漏洞修复程序，请使用此产品的用户尽快更新至安全版本： ZohoManageEngineServiceDeskPlus>=11306 官方下载地址：https://www.yzmcms.com VIP平台链接：https://vip.vulbox.com/detail/1787360451298988032?keyword=JTdCJTIya2V5d29yZCUyMiUzQSUyMll6bUNNUyUyMHBheV9jYWxsYmFjay5odG1sJTIwJUU4JUJG JTlDJUU3JUE4JThCJUU0JUJCJUEzJUU3JUEwJTgxJUU2JTg5JUE3JUU4JUExJThDJUU2JUJ DJThGJUU2JUI0JTlFJTIyJTdE&origin=intellList&source=vb 3.2畅捷通T+App_Code.ashx远程命令执行漏洞 1)漏洞描述畅捷通T+专属云适用于需要一体化管理的企业，财务管理、业务管理、零售管理、生产管理、物流管理、移动仓管、营销管理、委外加工等人财货客一体化管理。在畅捷通T+App_Code.ashx存在远程命令执行漏洞，未授权攻击者可以利用此漏洞执行系统命令，并获取服务器权限。 2)爆发时间 2024年4月9日 3)影响版本畅捷通T+ 4)检测规则检测流量中是否存在以下路径： /tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Code.ashx 斗象智能安全PRS最新规则已支持检测，如有疑问可联系售后支持。 5)修复方案请使用该产品的用户尽快联系厂商更新至安全版本。下载地址如下：https://www.chanjet.com/ 若无法进行升级的情况下，请使用该产品的用户进行如下操作仅允许可信ip访问/tplus/ajaxpro/Ufida.T.CodeBehind._PriorityLevel,App_Cod e.ashx路由 VIP平台链接：https://vip.vulbox.com/detail/1777523639692955648?keyword=JTdCJTIya2V5d29yZCUyMiUzQSUyMiVFNyU5NSU4NSVFNiU4RCVCNyVFOSU4MCU5QVQlMkIlMjBBcHBfQ29kZS5hc2h4JTIwJUU4JUJGJTlDJUU3JUE4JThCJUU1JTkxJUJEJUU0JUJCJUE0JUU2JTg5JUE3JUU4JUExJThDJUU2JUJDJThGJU U2JUI0JTlFJTIyJTdE&origin=intellList&source=vb 3.3pgAdmin远程代码执行漏洞(CVE-2022-4223) 1)漏洞描述 pgAdmin是一个著名的PostgreSQL数据库管理平台。 pgAdmin包含一个HTTPAPI可以用来让用户选择并验证额外的PostgreSQL套件，比如pg_dump和pg_restore。但在其6.16版本及之前，用户对于创建的路径没有做合适的验证，导致未授权的用户可以在目标服务器上执行任意命令。 2)爆发时间 2024年4月7日 3)影响版本 pgAdmin<=6.16 4)检测规则检测流量中是否存在以下路径： /misc/validate_binary_path 并且请求正文中，是否有“jndiName”参数斗象智能安全PRS最新规则已支持检测，如有疑问可联系售后支持。 5)修复方案请使用此产品的用户尽快更新安全补丁。下载地址：https://www.kingdee.com VIP平台链接https://vip.vulbox.com/detail/1776855870139928576?keyword=JTdCJTIya2V5d29yZCUyMiUzQSUyMnBnQWRtaW4lMjAlRTglQkYlOUMlRTclQTglOEIlRTQlQkIlQTMlRTclQTAlODElRTYlODklQTclRTglQTElOEMlRTYlQkMlOEYlRTYlQjQlOUUoQ1ZFLTIwMjItNDIyMyklMjIlN0Q=&origin=intellList&source=vb 3.4泛微E-Office10atuh-file远程代码执行漏洞 1)漏洞描述泛微e-office10是一款专业的协同OA软件，支持全终端，移动功能显著，包括知识文档管理、流程管理、项目管理、客户管理、费用管理、协作区、任务管理等功能模块。泛微e-office10在10.0_20240222版本之前存在远程代码执行漏洞。未经授权的攻击者可以构造特制的请求包进行利用，从而进行任意代码执行，控制服务器。 2)爆发时间 2024年3月28日 3)影响版本 v10.0_20180516<E-Office10<v10.0_20240222 4)检测规则检测流量中是否存在以下路径： /eoffice10/server/public/api/attachment/atuh-file /eoffice10/server/public/api/attachment/path/migrate /eoffice10/server/public/api/empower/import 斗象智能安全PRS最新规则已支持检测，如有疑问可联系售后支持。 5)修复方案请使用该产品的用户尽快更新至安全版本。版本号：E-Office10>=v10.0_20240222 版本链接：https://service.e-office.cn/ 若无法进行升级的情况下，请使用该产品的用户进行如下操作仅允许可信ip访问/eoffice10/server/public/api/attachment/atuh-file路由 VIP平台链接：https://vip.vulbox.com/detail/1773229647547469824?keyword=JTdCJTIya2V5d29yZCUyMiUzQSUyMiVFNiVCMyU5QiVFNSVCRSVBRUUtT2Z maWNlMTAlMjBhdHVoLWZpbGUlMjAlRTglQkYlOUMlRTclQTglOEIlRTQlQkIlQTMlRTclQTAlODElRTYlODklQTclRTglQTElOEMlRTYlQkMlOEYlRTYlQjQlOUUlMjIlN0Q=&origin=intellList&source=vb 3.5锐捷EWEBauth远程代码执行漏洞 1)漏洞描述锐捷睿易是锐捷网络针对商业市场的子品牌。拥

点击免费查看完整报告