当前位置：网站首页 » 观点 » 内容详情

cvss评分权威发布_cvss评分范围(2024年12月精准访谈)

内容来源：麦吉窗影视所属栏目：观点更新日期：2024-11-29

cvss评分

【尽快更新！开源文件共享软件ProjectSend曝出严重漏洞：评分高达9.8、已被利用】开源文件共享应用程序ProjectSend被曝出存在严重的安全漏洞，CVSS评分高达9.8分，VulnCheck调查结果显示，这个漏洞很可能已经被恶意利用。该漏洞最初在2023年5月的提交中被修复，直到2024年8月r1720版本发布后才正式可用，2024年11月26日，该漏洞被分配了CVE标识符CVE-2024-11680。全网扫描发现仅1%安装了ProjectSend的服务器更新到了r1750版，其他99%的机器都还在运行无法检测到版本号的版本或者r1605版。VulnCheck表示，鉴于该漏洞似乎被广泛利用，建议用户尽快应用最新的补丁程序。尽快更新！开源文件共享软件ProjectSend曝出...

【尽快手动更新！知名压缩工具7-Zip曝出高危漏洞：可实现完全系统绕过】知名压缩工具7-Zip近日被曝出存在严重安全漏洞，漏洞编号为CVE-2024-11477，CVSS评分7.8分属高危漏洞。漏洞主要存在于Zstandard解压缩的实现中，由于未正确验证用户提供的数据，可能导致整数下溢，攻击者可以利用它在受影响的系统上执行任意代码，获得与登录用户相同的访问权限，甚至可能实现完全的系统绕过。7-Zip已在24.07版本中解决了此安全问题，建议用户手动下载并安装最新版本，因为利用该漏洞所需的技术专业知识最少。

近日，网络安全研究人员发现7-Zip文件压缩工具存在一个严重的安全漏洞（CVE-2024-11477），该漏洞的CVSS评分为7.8。该漏洞存在于Zstandard解压缩实现中，7-Zip 在处理特定文件格式（如.7z、.xz、.lzma 等）的文件头时存在堆缓冲区溢出问题，可被利用实现任意代码执行，可能导致系统受损或敏感信息泄露。攻击者可能通过诱导用户打开通过电子邮件附件或共享文件分发的特制压缩包来利用此漏洞，植入执行任意代码实现远程攻击窃取敏感信息甚至控制系统。值得注意的是，Zstandard格式在Linux系统中被广泛应用，涉及Btrfs、SquashFS和OpenZFS等文件系统，这使得此次漏洞影响范围进一步扩大，众多Linux用户也深陷风险之中。目前，7-Zip官方已经在24.07版本中修复了此问题。但由于7-Zip没有自动更新机制，用户需尽快手动下载并安装最新版本，才能有效防范风险。「网络安全超话」「7-zip」「安全漏洞」「Linux超话」「Zstandard」安全419的微博视频

全球工控巨头，被曝其工业设备存在20个漏洞 Advantech（研华科技）是一家全球领先的工业自动化和嵌入式计算解决方案提供商。自成立以来，Advantech一直致力于推动工业自动化和物联网（IoT）领域的技术进步，为全球客户提供高效、可靠的解决方案。其产品线涵盖了工业计算机、数据采集与监控设备、网络通信设备等，广泛应用于智能制造、智慧城市、轨道交通、能源管理等多个领域。凭借卓越的技术实力和丰富的行业经验，Advantech已成为全球工业自动化领域的重要参与者。然而，尽管Advantech在技术创新和产品质量方面取得了显著成就，但任何技术产品都无法完全避免安全漏洞的存在。随着网络技术的不断发展，安全威胁日益复杂多变，即使是像Advantech这样的行业巨头也难以完全避免安全漏洞的出现。漏洞概述上周三，网络安全公司Nozomi Networks发布了一篇关于Advantech EKI工业级无线访问点设备安全漏洞的分析文章。该文章指出，Advantech EKI设备中存在20个安全漏洞，这些漏洞允许攻击者通过提升后的权限绕过认证并执行代码。这些漏洞带来了严重的安全风险，可能导致攻击者以root权限在未认证的情况下实现远程代码执行，从而完全攻陷受影响设备的机密性、完整性和可用性。漏洞影响及修复措施受到影响的设备包括EKI-6333AC-2G、EKI-6333AC-2GD和EKI-6333AC-1GPO等型号。在收到负责任的披露后，Advantech迅速响应，并在以下固件版本中修复了这些漏洞：1.6.5（适用于EKI-6333AC-2G和EKI-6333AC-2GD）以及1.2.2（适用于EKI-6333AC-1GPO）。在这20个漏洞中，有6个被认定为严重级别。这些严重漏洞允许攻击者通过植入后门的方式获得对内部资源的持久访问权限，触发拒绝服务条件，甚至将受感染端点重构为Linux工作站，以实现横向移动以及进一步的网络渗透。这种级别的攻击一旦成功，将对企业的网络安全构成巨大威胁。其中，5个严重漏洞（编号从CVE-2024-50370到CVE-2024-50374，CVSS评分均为9.8）与对操作系统命令中所使用的特殊元素处理不当有关。这些漏洞允许攻击者利用特定的输入数据来绕过安全机制，执行未授权的操作系统命令。而另一个严重漏洞CVE-2024-50375（CVSS评分9.8）则与对关键函数的认证缺失有关，使得攻击者能够在未认证的情况下执行敏感操作。 XSS漏洞组合利用除了上述严重漏洞外，还有一个值得注意的XSS漏洞CVE-2024-50376（CVSS评分7.3）。该漏洞可以与另一个漏洞CVE-2024-50359（CVSS评分7.2）组合利用，造成OS命令注入后果，无需认证即可实现任意代码执行。这种组合利用方式使得攻击者能够在受害者的web浏览器上下文中执行任意JavaScript代码，进而利用CVE-2024-50359以root权限在OS级别实现命令注入。然而，要成功实施这种攻击，外部恶意用户必须物理接近Advantech访问点并播报恶意访问点。当管理员访问web应用中的“WiFi Analyzer”部分时，才会触发该攻击。攻击者可以通过恶意访问点播报的SSID等信息，将JavaScript payload作为其恶意访问点的SSID插入，并利用CVE-2024-50376在web应用中触发XSS漏洞。一旦攻击成功，攻击者就可以在受害者的web浏览器上下文中执行任意JavaScript代码。随后，他们可以结合使用CVE-2024-50359以root权限在OS级别执行命令。这可以通过向威胁行动者提供持久远程访问的反向shell来实现，使攻击者获得对受陷设备的远程控制权限，执行命令，并进一步渗透网络，提取数据或部署其它恶意脚本。漏洞存在属正常现象值得注意的是，安全漏洞的存在是任何技术产品都无法完全避免的现象。即使是像Advantech、西门子、ABB、施耐德等全球知名的工控巨头，也无法保证其产品完全不存在安全漏洞。随着网络技术的不断发展，安全威胁日益复杂多变，新的漏洞不断被发现和利用。因此，对于企业和个人用户而言，重要的是要保持警惕，及时更新固件和软件补丁，以减少潜在的安全风险。同时，加强网络安全意识培训，提高员工对网络攻击的认识和防范能力也是至关重要的。此外，定期进行安全审计和漏洞扫描，及时发现并修复潜在的安全漏洞，也是确保网络安全的重要手段。总之，尽管Advantech EKI工业级无线访问点设备中存在安全漏洞，但通过及时的修复措施和加强的网络安全防护，企业和个人用户仍然可以有效地降低安全风险，确保网络安全。同时，我们也期待Advantech等厂商能够继续加强技术研发和产品质量控制，为用户提供更加安全可靠的产品和服务。

苹果昨天发布了一堆系统安全更新，解决两个漏洞，CVE-2024-44308 JS 内核任意代码执行和 CVE-2024-44309 WebKit 跨站攻击，目前已在 Intel 处理器的 Mac 上被积极利用，利用方法未公布，CVSS 3.1 基础评分 8.8，属于高危，还没上升到 Critical 等级主要因为利用漏洞需要用户交互触发并且作用域固定。

SAP、D-Link等产品存在高危漏洞，CISA添加到已知被利用漏洞目录

【知名压缩工具7-Zip曝出高危漏洞：可实现完全系统绕过】知名压缩工具7-Zip近日被曝出存在严重安全漏洞，漏洞编号为CVE-2024-11477，CVSS评分7.8分属高危漏洞。漏洞主要存在于Zstandard解压缩的实现中，由于未正确验证用户提供的数据，可能导致整数下溢，攻击者可以利用它在受影响的系统上执行任意代码，获得与登录用户相同的访问权限，甚至可能实现完全的系统绕过。7-Zip已在24.07版本中解决了此安全问题，建议用户手动下载并安装最新版本，因为利用该漏洞所需的技术专业知识最少。

专栏内容推荐

650 x 584 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
1080 x 341 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

650 x 168 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

645 x 257 · png
通用漏洞评分系统(CVSS)指标 - 知乎
素材来自:zhuanlan.zhihu.com

650 x 628 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
650 x 426 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

690 x 388 · png
新报告认为现有CVSS评分系统存在不足：前10漏洞中有6个被高估_凤凰网
素材来自:i.ifeng.com

882 x 752 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
1015 x 450 · png
cvss评分及漏洞矢量_cvss漏洞定级-CSDN博客
素材来自:blog.csdn.net

1080 x 570 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

1031 x 415 · png
安全漏洞评分系统CVSS_cvss漏洞定级-CSDN博客
素材来自:blog.csdn.net

279 x 219 · jpeg
CVSS 3.1 通用漏洞评分系统 3.1 - 知乎
素材来自:zhuanlan.zhihu.com
1080 x 794 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1071 x 315 · png
通用漏洞评分系统CVSS v4.0标准浅析 - 哔哩哔哩
素材来自:bilibili.com

1080 x 333 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net

732 x 1856 · png
CVSS评分策略分析及近年来满分漏洞盘点-CSDN博客
素材来自:blog.csdn.net
650 x 245 · jpeg
CVSS评分策略分析及近年来满分漏洞盘点 | CN-SEC 中文网
素材来自:cn-sec.com

1080 x 427 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

720 x 378 · png
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

720 x 286 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 623 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com
720 x 368 · jpeg
使用CVSS漏洞评分系统解决API安全问题 - 知乎
素材来自:zhuanlan.zhihu.com

1210 x 220 · jpeg
FIRST发布新的漏洞评分系统 CVSS 4.0 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 850 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com
1154 x 469 · png
解读 CVSS 通用评分系统中最具争议的 Scope_cvss scope-CSDN博客
素材来自:blog.csdn.net

1080 x 233 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 346 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 676 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com
1029 x 545 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 446 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

1080 x 390 · jpeg
通用漏洞评分系统CVSS v4.0标准浅析 - 知乎
素材来自:zhuanlan.zhihu.com

561 x 295 · jpeg
如何正确对待通用安全漏洞评分系统(CVSS)-通用漏洞评分系统
素材来自:51cto.com

1426 x 698 · jpeg
What is the Common Vulnerability Scoring System (CVSS)? | Balbix
素材来自:balbix.com

524 x 524 · png
一文读懂通用漏洞评分系统CVSS4.0：顺带理清CVE、CWE及其与CVSS之间的关系_cvss评分-CSDN博客
素材来自:blog.csdn.net
800 x 385 · jpeg
What is Common Vulnerability Scoring System (CVSS)
素材来自:wallarm.com

素材来自:查看更多內容

当前用户设备UA：Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +claudebot@anthropic.com)