根据国家信息安全漏洞库（CNNVD）统计，本周（2024.03.18~2024.03.24）CNNVD接报漏洞325个，其中信息技术产品漏洞（通用型漏洞）278个，网络信息系统漏洞（事件型漏洞）47个，其中华云安报送2个；CNNVD收录漏洞通报97份，其中华云安报送1份。

本周重点关注漏洞包括：CVE-2024-22257 Spring Security 访问控制漏洞、CVE-2024-27439 Apache Wicket 跨站请求伪造漏洞、CVE-2024-29027 Parse Server SQL 注入漏洞、CVE-2024-28566 FreeImage 缓冲区溢出漏洞、CVE-2024-29133  Apache Commons Configuration 缓冲区错误漏洞、CVE-2024-29943 Mozilla Firefox 越界读取漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2024-22257 Spring Security 访问控制漏洞

威胁等级：高危

漏洞描述：

2024年03月19日，华云安思境安全团队监测发现 Spring 官方发布安全通告，披露了 Spring Security 6.2.0 - 6.2.2  版本、Spring Security 6.1.0 - 6.1.7 版本、Spring Security 6.0.0 - 6.0.9版本、Spring Security 5.8.0 - 5.8.10 版本、Spring Security 5.7.0 - 5.7.11版本存在访问控制漏洞。Spring  Security 是一个可定制的安全框架，专为基于Spring 的企业应用系统而设计，它提供了一套全面的安全特性，用于保护应用程序免受各种安全威胁。通过Spring  Security 开发人员可以轻松地实现身份验证、授权、加密、防止会话固定等安全功能，而无需编写大量的重复代码。攻击者可利用该漏洞进行身份验证和授权绕过。

情报来源：

https://spring.io/security/cve-2024-22257 

02 CVE-2024-27439 Apache Wicket 跨站请求伪造漏洞

威胁等级：超危

漏洞描述：

2024年03月19日，华云安思境安全团队监测发现 Apache 官方发布安全通告，披露了 Apache Wicket 9.1.0 ~ 9.16.0 版本、Apache Wicket 10.0.0-M1之前版本存在跨站请求伪造漏洞。Apache Wicket 是阿帕奇（Apache）基金会推出的一个开源、轻量级且基于组件的框架，它提供了一种高效且面向对象的方法，用于开发动态且交互式的Web用户界面应用程序，该框架以其简洁性、易用性和强大的功能特性，在Web开发领域广受欢迎。攻击者可利用此漏洞避开安全验证，执行恶意操作。

情报来源：

https://lists.apache.org/thread/o825rvjjtmz3qv21ps5k7m2w9193g1lo 

03 CVE-2024-29027 Parse Server SQL 注入漏洞

威胁等级：超危

漏洞描述：

2024年03月20日，华云安思境安全团队发现 Parse Server 官网发布了安全通告，披露了 Parse Server  6.5.5 之前版本、7.0.0-alpha.1 ~ 7.0.0-alpha.29 版本存在 SQL 注入漏洞。Parse Server 是一款开源的、基于 node.js 的后端框架，提供了一套完整的后端服务，包括用户认证、数据存储、云代码执行等功能，使得开发者可快速构建后端服务。攻击者可利用该漏洞导致服务器崩溃，进行代码注入。

情报来源：

https://github.com/parse-community/parse-server/security/advisories/GHSA-6hh7-46r2-vf29 

04 CVE-2024-28566 FreeImage 缓冲区溢出漏洞

威胁等级：高危

漏洞描述：

2024年03月20日，华云安思境安全团队监测发现 FreeImage 官方发布安全通告，披露了 FreeImage v.3.19.0 版本存在缓冲区溢出漏洞。FreeImage 是一个功能强大的开源库，专门用于处理各种流行的图形图像格式。这个库的最大特点是其跨平台性，这意味着它可以在多种操作系统上运行，包括Windows、Linux和Mac OS等。攻击者可利用该漏洞在读取 TIFF 格式的图像时通过 AssignPixel() 函数执行任意代码。

情报来源：

https://freeimage.sourceforge.io/ 

05 CVE-2024-29133  Apache Commons Configuration 缓冲区错误漏洞

威胁等级：超危

漏洞描述：

2024年03月21日，华云安思境安全团队监测发现 Apache 官方发布安全通告，披露了 Apache Commons Configuration 2.0 到 2.10.1版本存在缓冲区错误漏洞。Apache Commons Configuration是 Apache 软件基金会的一款通用的配置接口，它主要用于使 Java 应用程序从多种来源读取配置数据。攻击者可利用该漏洞获取敏感数据。

情报来源：

https://lists.apache.org/thread/ccb9w15bscznh6tnp3wsvrrj9crbszh2 

06 CVE-2024-29943 Mozilla Firefox 越界读取漏洞

威胁等级：超危

漏洞描述：

2024年03月22日，华云安思境安全团队监测发现 Mozilla 官方发布安全通告，披露了 Mozilla Firefox 124.0.1 之前版本存在越界读取漏洞。Mozilla Firefox 是 Mozilla 基金会的一款开源 Web 浏览器，支持 Windows、macOS、Linux等多种操作系统，Mozilla Firefox 在速度方面表现卓越，它采用了先进的渲染引擎和优化技术，能够快速加载和渲染网页内容，为用户提供流畅的浏览体验。攻击者可利用该漏洞执行越界操作。

情报来源：

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/#CVE-2024-29943 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法