绿盟科技威胁周报(2024.04.15-2024.04.21)
💡
原文中文,约3700字,阅读约需9分钟。
📝
内容提要
绿盟科技CERT监测到Oracle修复了WebLogic Server中的信息泄露漏洞,Palo Alto Networks修复了PAN-OS中的命令注入漏洞。此外,还有关于Electron安全、OWASP开源软件风险清单、Node.js命令注入漏洞、Git-Secrets使用、黑客入侵天眼公司、XZ后门事件、iOS零点击漏洞、Palo Alto Networks防火墙零日漏洞的报道。
🎯
关键要点
- 绿盟科技CERT监测到Oracle修复了WebLogic Server中的信息泄露漏洞(CVE-2024-21006/CVE-2024-21007)。
- Palo Alto Networks修复了PAN-OS中的命令注入漏洞(CVE-2024-3400),该漏洞CVSS评分为10.0。
- Electron安全发展态势受到关注,XZ后门事件引发供应链安全担忧。
- OWASP发布了开源软件风险清单TOP 10,旨在帮助企业用户解决开源软件组件安全问题。
- Node.js披露了一个高危命令注入漏洞(CVE-2024-27980),可能允许攻击者在Windows设备上执行恶意代码。
- Git-Secrets工具可防止将敏感信息意外上传至Git库,但可能存在误报。
- 黑客成功入侵天眼公司,窃取大量美国国家安全机密数据。
- XZ后门事件可能不是孤立事件,OpenJS基金会发出警告。
- 黑客在暗网上以200万美元出售iOS零点击漏洞,建议用户注意安全。
- 受国家支持的黑客利用Palo Alto Networks防火墙零日漏洞进行攻击,相关补丁已发布。
➡️
