腾讯安全近期监测到Palo Alto Networks官方发布了关于PAN-OS Management Web Interface的风险公告，漏洞编号：TVD-2024-32377 (CVE编号：CVE-2024-0012，CNNVD编号：CNNVD-202411-2328)。成功利用此漏洞的攻击者，最终可绕过权限验证，配合其他漏洞（如CVE-2024-9474）可远程执行任意代码。

PAN-OS是Palo Alto Networks防火墙设备的核心操作系统，采用模块化设计，提供灵活性和可扩展性。它支持多虚拟化、实时更新和高可用性，确保网络流量的安全检查和过滤。PAN-OS Management Web Interface 是用于管理Palo Alto Networks防火墙设备的核心界面，它提供了直观的图形化界面，使网络管理员能够轻松配置防火墙策略、监控网络流量、管理用户权限等。

据描述，该漏洞源于PAN-OS Management Web Interface中的权限校验存在代码缺陷，攻击者可以通过将请求头中的X-PAN-AUTHCHECK设置为off绕过权限校验访问受限端点，并配合其他漏洞最终远程执行任意代码。

风险等级：

影响版本：

10.2.0 <= PAN OS < 10.2.12-h2

11.0.0 <= PAN OS < 11.0.6-h1

11.1.0 <= PAN OS < 11.1.5-h1

11.2.0 <= PAN OS < 11.2.4-h1

修复建议：

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://www.paloaltonetworks.com/network-security/pan-os

2. 临时缓解方案：

https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431

腾讯安全近期监测到Ivanti官方发布了关于Endpoint Manager的风险公告，漏洞编号为TVD-2024-31477 (CVE编号：CVE-2024-50330，CNNVD编号：CNNVD-202411-1381)。成功利用此漏洞的攻击者，可获取服务器上的敏感数据，最终远程执行任意代码。

Ivanti Endpoint Manager（EPM）是一款企业级的设备管理解决方案，它提供统一端点管理功能，适用于管理Windows、macOS、iOS、Android、Linux和Chrome OS等多种操作系统。该解决方案通过单一控制平台，实现设备的发现、配置、保护和策略执行，从而简化IT管理流程，提高工作效率。

据描述，该漏洞源于Ivanti Endpoint Manager存在代码缺陷，未授权的攻击者可通过此漏洞触发SQL注入，最终获取服务器数据甚至远程执行代码。

漏洞状态：

风险等级：

影响版本：

Ivanti Endpoint Manager 2024 <= 2024 September Security Update

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022

2. 临时缓解方案：

- 如无必要，避免开放至公网。

- 利用安全组设置仅对可信地址开放。

腾讯安全近期监测到Apache官方发布了关于OFBiz的风险公告，漏洞编号为TVD-2024-32319 (CVE编号：CVE-2024-47208，CNNVD编号：CNNVD-202411-2279)。成功利用此漏洞的攻击者，最终可以远程执行任意代码。

Apache OFBiz是一款开源的企业资源规划（ERP）系统，它基于Java技术构建，提供了一整套灵活的业务应用程序框架，适用于各种规模的企业。OFBiz的核心功能包括会计、CRM、订单管理、电子商务、仓储和库存管理、制造和物料需求计划（MRP）等，旨在通过集成多种业务管理工具来简化企业的日常运营。

据描述，该漏洞源于OFBiz存在代码缺陷，攻击者可以通过发送特制的请求触发Groovy表达式注入，最终远程执行任意代码。

漏洞状态：

风险等级：

影响版本：

Apache OFBiz < 18.12.17

修复建议：

https://ofbiz.apache.org/download.html

概述：

腾讯安全近期监测到GitLab官方发布了关于GitLab的风险公告，漏洞编号为TVD-2024-33673 (CVE编号：CVE-2024-8114，CNNVD编号：CNNVD-202411-3656)，拥有低权限的攻击者，可以利用该漏洞执行更高权限的操作。

GitLab是一个基于Web的开源DevOps平台，提供代码托管、版本控制、持续集成/持续部署（CI/CD）、项目管理等功能。它支持多用户协作，便于代码版本控制，并内置了CI/CD功能，可以自动化构建、测试和部署流程，提高开发效率。GitLab适用于各种规模的团队，从小型开源项目到大型企业级应用开发，其全面功能使其成为DevOps实践的重要工具。

据描述，该漏洞源于GitLab对LFS令牌的处理存在缺陷，攻击者可以利用个人访问令牌（PAT）来获取LFS令牌，进而以该用户的身份执行未经授权的操作，比如读取或修改存储在LFS中的敏感文件等。

8.12.0 <= GitLab EE/CE < 17.4.5

17.5.0 <= GitLab EE/CE < 17.5.3

17.6.0 <= GitLab EE/CE < 17.6.1

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

https://about.gitlab.com/update

利用安全组设置仅对可信地址开放。

概述：

腾讯安全近期监测到Zabbix官方发布了关于Zabbix的风险公告，漏洞编号为TVD-2024-33712 (CVE编号：CVE-2024-42327，CNNVD编号：CNNVD-202411-3698)，成功利用此漏洞的攻击者，最终可获取服务器上的敏感数据。

Zabbix是一款功能强大的开源监控软件，广泛应用于企业级IT环境，用于实时监控服务器、网络设备、应用程序等的性能和健康状况。它支持多种监控方式，包括SNMP、JMX、IPMI、SSH等，并提供灵活的通知机制，如邮件、短信等，以便及时发现和解决问题。Zabbix的高可用性、可扩展性和丰富的数据可视化功能使其成为运维人员的得力助手，能够有效提升系统的稳定性和可用性。

据描述，该漏洞源于Zabbix CUser类中的addRelatedObjects函数存在SQL注入漏洞，具有API访问权限的攻击者可通过API调用该函数执行SQL语句，最终获取数据库中的敏感数据。

漏洞状态：

风险等级：

影响版本：

6.0.0 <= Zabbix <= 6.0.31

6.4.0 <= Zabbix <= 6.4.16

Zabbix 7.0.0

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://www.zabbix.com/download

2. 临时缓解方案：

- 如无必要，避免暴露至公网。

- 利用安全组设置仅对可信地址开放。

概述：

腾讯安全近期监测到关于7-Zip的风险公告，漏洞编号为 TVD-2024-33198 (CVE编号：CVE-2024-11477，CNNVD编号：CNNVD-202411-3145)。成功利用此漏洞的攻击者，最终可远程执行代码。

7-Zip是一款免费开源的文件压缩和解压缩软件，以其高压缩比和多格式支持著称。它支持包括7z、ZIP、RAR、CAB、GZIP、BZIP2等多种格式，尤其以其7z格式提供高效的压缩效果。7-Zip的界面简洁，操作直观，适合各种用户，并且可以在Windows、Linux和macOS等多个平台上使用。

据描述，该漏洞源于7-Zip在使用Zstandard算法解压缩的过程中对用户提供的数据验证不当，可能导致整数下溢并在写入内存前执行代码。攻击者可以通过发送特制的压缩包诱导受害者解压触发该漏洞，最终远程执行代码。

漏洞状态：

风险等级：

7-Zip < 24.07

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://7-zip.org/download.html

概述：

腾讯安全近期监测到PostgreSQL官方发布了关于PostgreSQL的风险公告，漏洞编号为TVD-2024-31960 (CVE编号：CVE-2024-10979，CNNVD编号：CNNVD-202411-1889)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

PostgreSQL是一款功能强大、开源的关系型数据库管理系统，它以其稳定性、扩展性、对SQL标准的良好支持以及丰富的数据类型和高级功能而闻名。PostgreSQL支持事务处理、并发控制、存储过程和复杂查询，遵循ACID原则，适用于各种规模的应用，从小型单机应用到大型企业级分布式系统。

据描述，该漏洞源于PostgreSQL中的PL/Perl扩展对环境变量控制不当，允许非特权数据库用户更改敏感的进程环境变量(例如PATH)，攻击者可以利用该漏洞远程执行任意代码。

漏洞状态：

风险等级：

影响版本：

12.0 <= PostgreSQL < 12.21

13.0 <= PostgreSQL < 13.17

14.0 <= PostgreSQL < 14.14

15.0 <= PostgreSQL < 15.9

16.0 <= PostgreSQL < 16.5

17.0 <= PostgreSQL < 17.1

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://www.postgresql.org/download/

2. 临时缓解方案：

- 如无必要，不启用PL/Perl扩展。

- 设置只允许特权用户安装和配置扩展。

* 以上漏洞的修复建议，由安全专家审核并融合了AI生成的建议。

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

往期企业必修漏洞清单

• 2024年10月必修安全漏洞清单

• 2024年09月必修安全漏洞清单

• 2024年05月必修安全漏洞清单

• 2024年04月必修安全漏洞清单

• 2024年03月必修安全漏洞清单

• 2024年02月必修安全漏洞清单

• 2024年01月必修安全漏洞清单

• 2023年12月必修安全漏洞清单

• 2023年11月必修安全漏洞清单

• 2023年10月必修安全漏洞清单

• 2023年09月必修安全漏洞清单

• 2023年08月必修安全漏洞清单

• 2023年07月必修安全漏洞清单

• 2023年06月必修安全漏洞清单

• 2023年05月必修安全漏洞清单

• 2023年04月必修安全漏洞清单

• 2023年03月必修安全漏洞清单

• 2023年02月必修安全漏洞清单

• 2023年01月必修安全漏洞清单

• 2022年12月必修安全漏洞清单

• 2022年11月必修安全漏洞清单

• 2022年10月必修安全漏洞清单

• 2022年09月必修安全漏洞清单

• 2022年08月必修安全漏洞清单

• 2022年07月必修安全漏洞清单
  

• 2022年06月必修安全漏洞清单
• 2022年05月必修安全漏洞清单
  
• 2022年04月必修安全漏洞清单
• 2022年03月必修安全漏洞清单
  
• 2022年02月必修安全漏洞清单
• 2022年01月必修安全漏洞清单
  
• 2021年12月必修安全漏洞清单
• 2021年11月必修安全漏洞清单