聚焦源代码安全,网罗国内外最新资讯!
该漏洞CVE-2024-27564是一个影响 pictureproxy.php 文件的中危漏洞,可导致攻击者在 url 参数中注入构造的URL并强制该应用提出任意请求。该漏洞在2023年浮出水面且在一年前公开披露,无需认证即可遭利用,而其PoC利用代码已被公开一段时间。
Veriti 公司表示,至少有一个威胁行动者已将该漏洞纳入其武器库,并开始在互联网寻找易受攻击的应用。在一周内,该公司就发现来自单一IP地址的10000多次攻击尝试。大约三分之一的目标组织机构可能因其防护解决方案中的配置不当问题而面临利用风险。
多数攻击活动针对的是位于美国的组织机构,主要集中在政府和金融行业。德国、泰国、印度尼西亚、哥伦比亚和英国的金融和医疗企业也遭攻击。Veriti 公司提到,“银行和金融科技企业依赖于受AI驱动的服务和API集成,使其易受SSRF攻击,可访问内部资源或窃取敏感数据。”
尽管该漏洞属于中危级别,但已成为真实的攻击向量。组织机构应尽量修复该漏洞,同时应当检查自己的入侵防御系统和防火墙中出现的配置不当问题并监控日志,查找已知的攻击者IP地址。该公司指出,“忽视中危漏洞是昂贵的错误,尤其对于高价值的金融组织机构而言更是如此。”
Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp
https://www.securityweek.com/chatgpt-vulnerability-exploited-against-us-government-organizations/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~