当前位置：网站首页 » 观点 » 内容详情

cvss评分权威发布_cvss评分范围(2024年11月精准访谈)

内容来源：卡姆驱动平台所属栏目：观点更新日期：2024-11-29

cvss评分

【尽快更新！开源文件共享软件ProjectSend曝出严重漏洞：评分高达9.8、已被利用】开源文件共享应用程序ProjectSend被曝出存在严重的安全漏洞，CVSS评分高达9.8分，VulnCheck调查结果显示，这个漏洞很可能已经被恶意利用。该漏洞最初在2023年5月的提交中被修复，直到2024年8月r1720版本发布后才正式可用，2024年11月26日，该漏洞被分配了CVE标识符CVE-2024-11680。全网扫描发现仅1%安装了ProjectSend的服务器更新到了r1750版，其他99%的机器都还在运行无法检测到版本号的版本或者r1605版。VulnCheck表示，鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序。尽快更新！开源文件共享软件ProjectSend曝出...

全球工控巨头，被曝其工业设备存在20个漏洞 Advantech（研华科技）是一家全球领先的工业自动化和嵌入式计算解决方案提供商。自成立以来，Advantech一直致力于推动工业自动化和物联网（IoT）领域的技术进步，为全球客户提供高效、可靠的解决方案。其产品线涵盖了工业计算机、数据采集与监控设备、网络通信设备等，广泛应用于智能制造、智慧城市、轨道交通、能源管理等多个领域。凭借卓越的技术实力和丰富的行业经验，Advantech已成为全球工业自动化领域的重要参与者。然而，尽管Advantech在技术创新和产品质量方面取得了显著成就，但任何技术产品都无法完全避免安全漏洞的存在。随着网络技术的不断发展，安全威胁日益复杂多变，即使是像Advantech这样的行业巨头也难以完全避免安全漏洞的出现。漏洞概述上周三，网络安全公司Nozomi Networks发布了一篇关于Advantech EKI工业级无线访问点设备安全漏洞的分析文章。该文章指出，Advantech EKI设备中存在20个安全漏洞，这些漏洞允许攻击者通过提升后的权限绕过认证并执行代码。这些漏洞带来了严重的安全风险，可能导致攻击者以root权限在未认证的情况下实现远程代码执行，从而完全攻陷受影响设备的机密性、完整性和可用性。漏洞影响及修复措施受到影响的设备包括EKI-6333AC-2G、EKI-6333AC-2GD和EKI-6333AC-1GPO等型号。在收到负责任的披露后，Advantech迅速响应，并在以下固件版本中修复了这些漏洞：1.6.5（适用于EKI-6333AC-2G和EKI-6333AC-2GD）以及1.2.2（适用于EKI-6333AC-1GPO）。在这20个漏洞中，有6个被认定为严重级别。这些严重漏洞允许攻击者通过植入后门的方式获得对内部资源的持久访问权限，触发拒绝服务条件，甚至将受感染端点重构为Linux工作站，以实现横向移动以及进一步的网络渗透。这种级别的攻击一旦成功，将对企业的网络安全构成巨大威胁。其中，5个严重漏洞（编号从CVE-2024-50370到CVE-2024-50374，CVSS评分均为9.8）与对操作系统命令中所使用的特殊元素处理不当有关。这些漏洞允许攻击者利用特定的输入数据来绕过安全机制，执行未授权的操作系统命令。而另一个严重漏洞CVE-2024-50375（CVSS评分9.8）则与对关键函数的认证缺失有关，使得攻击者能够在未认证的情况下执行敏感操作。 XSS漏洞组合利用除了上述严重漏洞外，还有一个值得注意的XSS漏洞CVE-2024-50376（CVSS评分7.3）。该漏洞可以与另一个漏洞CVE-2024-50359（CVSS评分7.2）组合利用，造成OS命令注入后果，无需认证即可实现任意代码执行。这种组合利用方式使得攻击者能够在受害者的web浏览器上下文中执行任意JavaScript代码，进而利用CVE-2024-50359以root权限在OS级别实现命令注入。然而，要成功实施这种攻击，外部恶意用户必须物理接近Advantech访问点并播报恶意访问点。当管理员访问web应用中的“WiFi Analyzer”部分时，才会触发该攻击。攻击者可以通过恶意访问点播报的SSID等信息，将JavaScript payload作为其恶意访问点的SSID插入，并利用CVE-2024-50376在web应用中触发XSS漏洞。一旦攻击成功，攻击者就可以在受害者的web浏览器上下文中执行任意JavaScript代码。随后，他们可以结合使用CVE-2024-50359以root权限在OS级别执行命令。这可以通过向威胁行动者提供持久远程访问的反向shell来实现，使攻击者获得对受陷设备的远程控制权限，执行命令，并进一步渗透网络，提取数据或部署其它恶意脚本。漏洞存在属正常现象值得注意的是，安全漏洞的存在是任何技术产品都无法完全避免的现象。即使是像Advantech、西门子、ABB、施耐德等全球知名的工控巨头，也无法保证其产品完全不存在安全漏洞。随着网络技术的不断发展，安全威胁日益复杂多变，新的漏洞不断被发现和利用。因此，对于企业和个人用户而言，重要的是要保持警惕，及时更新固件和软件补丁，以减少潜在的安全风险。同时，加强网络安全意识培训，提高员工对网络攻击的认识和防范能力也是至关重要的。此外，定期进行安全审计和漏洞扫描，及时发现并修复潜在的安全漏洞，也是确保网络安全的重要手段。总之，尽管Advantech EKI工业级无线访问点设备中存在安全漏洞，但通过及时的修复措施和加强的网络安全防护，企业和个人用户仍然可以有效地降低安全风险，确保网络安全。同时，我们也期待Advantech等厂商能够继续加强技术研发和产品质量控制，为用户提供更加安全可靠的产品和服务。

【尽快手动更新！知名压缩工具7-Zip曝出高危漏洞：可实现完全系统绕过】知名压缩工具7-Zip近日被曝出存在严重安全漏洞，漏洞编号为CVE-2024-11477，CVSS评分7.8分属高危漏洞。漏洞主要存在于Zstandard解压缩的实现中，由于未正确验证用户提供的数据，可能导致整数下溢，攻击者可以利用它在受影响的系统上执行任意代码，获得与登录用户相同的访问权限，甚至可能实现完全的系统绕过。7-Zip已在24.07版本中解决了此安全问题，建议用户手动下载并安装最新版本，因为利用该漏洞所需的技术专业知识最少。

近日，网络安全研究人员发现7-Zip文件压缩工具存在一个严重的安全漏洞（CVE-2024-11477），该漏洞的CVSS评分为7.8。该漏洞存在于Zstandard解压缩实现中，7-Zip 在处理特定文件格式（如.7z、.xz、.lzma 等）的文件头时存在堆缓冲区溢出问题，可被利用实现任意代码执行，可能导致系统受损或敏感信息泄露。攻击者可能通过诱导用户打开通过电子邮件附件或共享文件分发的特制压缩包来利用此漏洞，植入执行任意代码实现远程攻击窃取敏感信息甚至控制系统。值得注意的是，Zstandard格式在Linux系统中被广泛应用，涉及Btrfs、SquashFS和OpenZFS等文件系统，这使得此次漏洞影响范围进一步扩大，众多Linux用户也深陷风险之中。目前，7-Zip官方已经在24.07版本中修复了此问题。但由于7-Zip没有自动更新机制，用户需尽快手动下载并安装最新版本，才能有效防范风险。「网络安全超话」「7-zip」「安全漏洞」「Linux超话」「Zstandard」安全419的微博视频

𐟚観覄！你的VPN流量可能被劫持！𐟔 最近，一种名为“隧道视野”的新型VPN攻击方法引起了广泛关注，这种攻击方式能够让你在不知不觉中暴露网络流量！𐟘𑊊攻击者只需满足以下条件即可实施攻击：与受害者处于同一网络运行一个DHCP服务器这种攻击方法的CVE标识符为CVE-2024-3661，CVSS评分为7.6。它会影响所有实现DHCP客户端并支持DHCP选项121路由的操作系统。隧道视野攻击的核心在于，通过攻击者配置的DHCP服务器使用无类别静态路由选项121在VPN用户的路由表上设置路由，从而使流量通过VPN以非加密方式进行路由。这种攻击利用了DHCP协议设计上的缺陷，即不验证此类选项消息，从而使它们容易受到操纵。 DHCP是一种客户端/服务器协议，用于自动为互联网协议(IP)主机提供其IP地址和其他相关配置信息，例如子网掩码和默认网关，以便访问网络及其资源。如果你的VPN流量被劫持，可能会发生以下情况：被窃取被监控甚至被修改哪些操作系统会受到影响呢？包括： Windows Linux macOS iOS（除Android外）那么，如何保护自己呢？以下是一些建议：使用具有防火墙功能的VPN服务，例如Mullvad。在路由器上启用DHCP侦听功能。在Linux上使用网络命名空间。通过这些措施，你可以更好地保护自己的网络流量安全，防止隧道视野攻击的发生。𐟛᯸

苹果昨天发布了一堆系统安全更新，解决两个漏洞，CVE-2024-44308 JS 内核任意代码执行和 CVE-2024-44309 WebKit 跨站攻击，目前已在 Intel 处理器的 Mac 上被积极利用，利用方法未公布，CVSS 3.1 基础评分 8.8，属于高危，还没上升到 Critical 等级主要因为利用漏洞需要用户交互触发并且作用域固定。

SAP、D-Link等产品存在高危漏洞，CISA添加到已知被利用漏洞目录

专栏内容推荐

650 x 584 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
650 x 168 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

1080 x 341 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

645 x 257 · png
通用漏洞评分系统(CVSS)指标 - 知乎
素材来自:zhuanlan.zhihu.com

650 x 426 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
650 x 245 · jpeg
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

650 x 628 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
690 x 388 · png
新报告认为现有CVSS评分系统存在不足：前10漏洞中有6个被高估_凤凰网
素材来自:i.ifeng.com

279 x 219 · jpeg
CVSS 3.1 通用漏洞评分系统 3.1 - 知乎
素材来自:zhuanlan.zhihu.com
1080 x 570 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

1015 x 450 · png
cvss评分及漏洞矢量_cvss漏洞定级-CSDN博客
素材来自:blog.csdn.net

1031 x 415 · png
安全漏洞评分系统CVSS_cvss漏洞定级-CSDN博客
素材来自:blog.csdn.net

1154 x 469 · png
解读 CVSS 通用评分系统中最具争议的 Scope
素材来自:ppmy.cn

732 x 1856 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
1080 x 794 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1071 x 315 · png
通用漏洞评分系统CVSS v4.0标准浅析 - 哔哩哔哩
素材来自:bilibili.com

1080 x 333 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

882 x 752 · png
烽火狼烟丨CVSS评分策略分析及近年来满分漏洞盘点_评价_影响力_基础
素材来自:sohu.com
720 x 286 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

640 x 515 · jpeg
CVSS 评分为 9.6 分，Linux Kernel 被爆可远程执行代码的“关键”SMB 漏洞_每日快讯_科技头条_砍柴网
素材来自:ikanchai.com
865 x 864 · png
通用漏洞评分系统（CVSS）第4版 - 慕华精准医疗科技（武汉）有限公司
素材来自:hanichprecision-medtech.com