根据国家信息安全漏洞库（CNNVD）统计，本周（2024.02.12~2024.02.18）CNNVD接报漏洞28个，全部为信息技术产品漏洞（通用型漏洞）9个；CNNVD收录漏洞通报8份。

本周重点关注漏洞包括：CVE-2024-23833  OpenRefine 路径遍历漏洞、CVE-2024-21410 Microsoft Exchange Server 特权提升漏洞、CVE-2024-23476  SolarWinds Access Rights Manager 路径遍历漏洞 、CVE-2024-20720  Adobe Commerce 操作系统命令注入漏洞、Fortinet FortiOS 格式化字符串错误漏洞、CVE-2024-21413  Microsoft Outlook 远程代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2024-23833  OpenRefine 路径遍历漏洞

威胁等级：高危

漏洞描述：

2024年02月12日，华云安思境安全团队监测发现 OpenRefine 官方发布安全通告，披露了 OpenRefine 3.7.7及之前版本存在路径遍历漏洞。OpenRefine是一款基于 Java 的开源工具，这款工具主要用于加载、分析和清理数据，为用户提供了强大的数据处理能力。攻击者可能利用该漏洞读取服务器上的敏感信息。

情报来源：

https://github.com/OpenRefine/OpenRefine/security/advisories/GHSA-6p92-qfqf-qwx4   

02 CVE-2024-21410 Microsoft Exchange Server 特权提升漏洞

威胁等级：超危

漏洞描述：

2024年02月13日，华云安思境安全团队监测到 Microsoft 官方发布安全通告，披露了 Microsoft Exchange Server 2016 Cumulative Update 23、Microsoft Exchange Server 2019 Cumulative Update 13、Microsoft Exchange Server 2019 Cumulative Update 14 特权提升漏洞。Microsoft Exchange Server是微软公司的一套全面而高效的电子邮件服务程序，能够便捷地存取、储存和转发邮件。未经身份验证的攻击者可能利用该漏洞提升权限。

情报来源：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410   

03 CVE-2024-23476  SolarWinds Access Rights Manager 路径遍历漏洞

威胁等级：超危

漏洞描述：

2024年02月15日，华云安思境安全团队监测发现 SolarWinds 官方发布安全通告，披露了 SolarWinds Access Rights Manager 2023.2.2 及之前版本存在路径遍历漏洞。SolarWinds Access Rights Manager 是一个轻量级的审查管理系统，用于实时追踪监控 Active Directory 帐户状态配置变更、用户访问、系统活动等。攻击者可能利用该漏洞读取服务器上的文件。

情报来源：

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-23476   

04 CVE-2024-20720  Adobe Commerce 操作系统命令注入漏洞

威胁等级：超危

漏洞描述：

2024年02月16日，华云安思境安全团队监测发现 Adobe 官方发布安全通告，披露了 Adobe Commerce 2.4.6-p3 版本和 2.4.5-p5 版本和 2.4.4-p6 之前版本存在操作系统命令注入漏洞。Adobe Commerce 是一款全渠道商务软件，能够实现跨数字接触点的商务体验扩展与集成。攻击者可能利用此漏洞注入恶意代码。

情报来源：

https://helpx.adobe.com/security/products/magento/apsb24-03.html   

05 CVE-2024-23113 Fortinet FortiOS 格式化字符串错误漏洞

威胁等级：超危

漏洞描述：

2024年02月18日，华云安思境安全团队监测发现 Fortinet 官方发布安全通告，披露了 FortiOS 7.4.0 ~ 7.4.2 版本、FortiOS 7.2.0 ~ 7.2.6 版本、FortiOS 7.0.0 ~ 7.0.13 版本存在任意代码执行漏洞。Fortinet FortiOS 是飞塔公司专为 FortiGate 网络安全平台打造的一款先进安全操作系统，可为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。攻击者可能够利用该漏洞在未授权的情况下执行代码。

情报来源：

https://www.fortiguard.com/psirt/FG-IR-24-029   

06 CVE-2024-21413  Microsoft Outlook 远程代码执行漏洞

威胁等级：超危

漏洞描述：

2024年02月18日，华云安思境安全团队监测发现 Microsoft 官方发布安全通告，披露了 Microsoft Office 2019 for 32-bit editions，Microsoft Office 2019 for 64-bit editions，Microsoft 365 Apps for Enterprise for 32-bit Systems，Microsoft 365 Apps for Enterprise for 64-bit Systems，Microsoft Office LTSC 2021 for 64-bit editions，Microsoft Office LTSC 2021 for 32-bit editions，Microsoft Office 2016 (32-bit edition)，Microsoft Office 2016 (64-bit edition) 版本存在远程代码执行漏洞。Outlook是Microsoft开发的一款综合办公软件，主要用于电子邮件、日历、联系人管理、任务管理和笔记等功能。攻击者可能够利用该漏洞在受害者电脑上执行任意代码。

情报来源：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法