安全热点周报：Apache Tomcat RCE 漏洞遭两步利用

文章预览

安全资讯导视  •  《关键信息基础设施安全测评要求》公安行业标准发布 •  哈尔滨亚冬会赛事信息系统遭境外网络攻击超27万次，攻击源大部来自美国 •  俄乌黑客展开铁路大战，运营系统瘫痪殃及百万民众 PART  0 1 漏洞情报 1. Zabbix groupBy SQL注入漏洞安全风险通告 4月3日，奇安信CERT监测到官方修复Zabbix groupBy SQL注入漏洞(CVE-2024-36465)，该漏洞源于include/classes/api/CApiService.php文件对参数校验不当，导致具有API访问权限的Zabbix用户可以通过groupBy参数执行任意SQL命令。奇安信鹰图资产测绘平台数据显示，该漏洞关联的国内风险资产总数为21139个，关联IP总数为6156个。目前奇安信威胁情报中心安全研究员已成功复现，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。 2. Vite任意文件读取漏洞安全风险通告 4月1日，奇安信CERT监测到官方修复Vite任 ………………………………