主要观点总结
本文总结了近期安全资讯,包括漏洞情报、新增在野利用、安全事件、政策法规等
关键观点总结
关键观点1: 漏洞情报
包括Apache Struts文件上传漏洞、OpenWrt Attended SysUpgrade命令注入漏洞等
关键观点2: 新增在野利用
包括Cleo多产品无限制文件上传漏洞(CVE-2024-50623)被黑客积极利用,Windows通用日志文件系统驱动程序权限提升漏洞(CVE-2024-49138)正在被积极利用
关键观点3: 安全事件
包括国内最大IT社区CSDN被挂马事件、国家安全部指出境外间谍机关利用众包模式进行窃密活动等
关键观点4: 政策法规
包括四部门发布《中小企业数字化赋能专项行动方案(2025-2027年)》、国家发改委公布《电力监控系统安全防护规定》修订版、教育部和国家版权局发布《关于做好教育系统软件正版化工作的通知》、广电总局发布《管理提示(AI魔改)》以及美国商务部发布ICTS最终规则等
文章预览
安全资讯导视 • 国家发改委公布《电力监控系统安全防护规定》修订版 • 美商务部发布ICTS最终规则,确保信息与通信技术和服务供应链安全 • 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首 PART 0 1 漏洞情报 1.Apache Struts文件上传漏洞安全风险通告 12月12日,奇安信CERT监测到官方修复Apache Struts文件上传漏洞(CVE-2024-53677),Apache Struts的文件上传逻辑中存在漏洞,若代码中使用了FileUploadInterceptor,当进行文件上传时,攻击者可能构造恶意请求利用目录遍历等上传文件至其他目录。如果成功利用,攻击者可能能够执行远程代码、获取敏感数据、破坏网站内容或进行其他恶意活动。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 2.OpenWrt Attended SysUpgrade命令注入漏洞安全风险通告 12月10日,奇安信CERT监测到官方修复OpenWrt Attended SysUpgrade命令注
………………………………
