漏洞点单｜锤炼安全金钥，共筑安全防线

在网络安全日益受到重视的今天，我们深知每一个漏洞都可能成为潜在的安全风险。为了更好地推动高危漏洞的修复工作，并共同助力网络安全建设，我们特别发起了“漏洞点单”活动。

我们从2024年重保高优必修漏洞清单中精心筛选了5个具有代表性的漏洞。邀请您参与投票，从中选出您认为最需要关注和修复的漏洞，截止时间2024年9月20日12:00。

投票结束后，我们将根据投票结果，针对得票数较高的漏洞优先编写详细的漏洞处置SOP（标准操作程序），并在结束后次周进行公布。这些SOP将为您提供明确的修复步骤和建议，帮助您更有效地应对和解决这些高危漏洞带来的风险。

—— 投票下方可见漏洞详细信息 ——

—— 下方可见漏洞详细信息 ——

1. Jenkins 任意文件读取导致远程代码执行漏洞

CVE编号	CVE-2024-23897	厂商	Jenkins
CVSS评分	9.8	危害等级	严重
漏洞描述	Jenkins是Jenkins开源的一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。 Jenkins 2.441及之前版本、LTS 2.426.2及之前版本存在安全漏洞，该漏洞源于允许未经身份验证的攻击者读取Jenkins控制器文件系统。
受影响版本	LTS用户，建议升级至2.426.3及以上版本。非LTS用户，建议升级至2.442及以上版本。 https://www.jenkins.io/download/

2. GitLab 任意用户密码重置漏洞

CVE编号	CVE-2023-7028	厂商	GitLab
CVSS评分	10.0	危害等级	严重
漏洞描述	GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab 存在安全漏洞，该漏洞源于用户帐户密码重置电子邮件可能会发送到未经验证的电子邮件地址。
受影响版本	16.1.0 <= Gitlab CE/EE < 16.1.6 16.2.0 <= Gitlab CE/EE < 16.2.9 16.3.0 <= Gitlab CE/EE < 16.3.7 16.4.0 <= Gitlab CE/EE < 16.4.5 16.5.0 <= Gitlab CE/EE < 16.5.6 16.6.0 <= Gitlab CE/EE < 16.6.4 16.7.0 <= Gitlab CE/EE < 16.7.2

3. Apache OFBiz 目录遍历致代码执行漏洞

CVE编号	CVE-2024-32113	厂商	阿帕奇
CVSS评分	7.5	危害等级	严重
漏洞描述	Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。 Apache OFBiz 18.12.13之前版本存在路径遍历漏洞，该漏洞源于受限目录路径名不正确限制。
受影响版本	Apache OFBiz < 18.12.13

4. pgAdmin4 反序列化漏洞

CVE编号	CVE-2024-2044	厂商	EnterpriseDB
CVSS评分	无	危害等级	高危
漏洞描述	pgAdmin 4是一款专门针对PostgreSQL数据库的客户端管理软件。近日，监测到pgAdmin 4中修复了一个反序列化代码执行漏洞（CVE-2024-2044）。pgAdmin版本<= 8.3 在会话处理代码中反序列化用户会话时受容易到路径遍历漏洞的影响。如果服务器在 Windows 上运行，未经身份验证的威胁者可以加载和反序列化远程 pickle 对象并获得代码执行权；如果服务器在 POSIX/Linux 上运行，经过身份验证的威胁者可以上传恶意pickle对象并执行反序列化，从而导致代码执行。
受影响版本	4.20 <= pgadmin4 < 8.3

5. Sonatype Nexus Repository 3 路径遍历漏洞

CVE编号	CVE-2024-4956	厂商	Sonatype
CVSS评分	7.5	危害等级	中危
漏洞描述	Sonatype Nexus Repository是美国Sonatype公司的一款存储库管理器，它主要用于管理、存储和分发软件等。 Sonatype Nexus Repository 3.68.1之前版本存在安全漏洞，该漏洞源于存在路径遍历，允许未经身份验证的攻击者读取系统文件。
受影响版本	Sonatype Nexus Repository 3.x OSS/Pro 版本 < 3.68.1