间隙情况 sex5
■ 间隙配景
ServiceNow是一家提供企业级云处事的软件公司,提供企业料理和自动化处事的云表平台。ServiceNow平台主要针对IT处事料理(ITSM)、IT运营料理(ITOM)、和IT业务料理(ITBM)等方面,旨在匡助企业更高效地料理、运营和提供处事,从而栽种合座的业务运营恶果。近日,ServiceNow IT处事料理平台中发现了三个关键间隙,表露了包括政府机构、数据中心、动力供应商和软件开发公司在内的105多个企业的明锐信息,这些间隙(CVE-2024-4879、CVE-2024-5217和CVE-2024-5178)正在被积极应用,抨击者大略绕过身份考证、探问大肆数据并栽种权限,从而辛勤推论代码和窃取数据。
■ 间隙细目
ServiceNow的Jelly模板和Glide抒发式由于未对输入的数据进行过滤,未过程身份考证的坏心抨击者通过构造非凡肯求,在筹办处事器上推论大肆代码。
■ 间隙复现
构造坏心肯求,推论敕令,敕令推论得胜。
■ 影响边界
CVE-2024-4879:ServiceNow Jelly模板注入间隙ServiceNow UI宏中存在Jelly模板注入间隙,未经身份考证的遏制者可应用该间隙注入坏心代码,从而绕过安全适度、窃取明锐信息或导致辛勤推论代码,该间隙的CVSS评分为9.3。CVE-2024-5217:ServiceNow Glide抒发式注入间隙由于 GlideExpressionScript 类中对用户输入过滤不当,未经身份考证的遏制者可通过/login.do接口的jvar_page_title参数传递坏心实质导致辛勤代码推论,该间隙的CVSS评分为9.2。CVE-2024-5178:ServiceNow文献读取信息流露间隙由于SecurelyAccess API 中存在输入考证不完善,可能导致料理用户未经授权探问 Web 应用面孔处事器上的明锐文献,酿成信息流露,该间隙的CVSS评分为6.9。
■ 严重品级
处置步调
1、升级版块
现在该间隙已部分开拓,实时更新补丁或升级到最新版块。
下载集结:
https://support.servicenow.com/now
2、通用淡薄
如期更新系统补丁,减少系统间隙,栽种处事器的安全性。
加强系统和汇集的探问适度,修改防火墙战略,关闭非必要的应用端口或处事,减少将危境处事(如SSH、RDP等)表露到公网,减少抨击面。
使用企业级安全产物,栽种企业的汇集安全性能。
松岛枫av加强系统用户和权限料理,启用多身分认证机制和最小权限原则,用户和软件权限应保握在最低扫尾。
启用强密码战略并诞生为如期修改。
惩办有筹办
■ ManageEngine卓豪惩办有筹办
1、长入末端料理平台(Endpoint Central)全见地检测安全隐患,通过长入的适度台,对多系统、多末端,风险和间隙、安全失实建设、Web处事器失实建设、高风险软件(报废软件、辛勤桌面分享软件和P2P软件)等进行全面扫描、握续监测、严格评估,和圆善开拓。并长入进行补丁料理、软件分发、IT钞票料理、辛勤故障摒除、数据安全料理、系统装配、勒诈软件保护等来简化您的末端料理。2、特权探问料理平台(PAM360)从中央适度台自动发现、装配、存储和料理正在使用的特权用户、帐户和资源,全面料理处事器、汇集开拓、数据库以及多样应用面孔的密码,实时审计特权探问,实施圭臬密码战略、追踪密码探问历史、适度用户犯警使用,完满企业密码的安全料理和使用。并使用AI和ML入手相等检测功能作念出安全决策。3、数字化长入处事料理平台(ServiceDesk Plus)ServiceDesk Plus在土产货和云表皆可使用,是寻求具有相应投资酬金率的可栽种、安全和可栽种的IT和企业处事料理(ITSM)惩办有筹办的企业的理思聘任。行家向上3/5的寰宇五百强企业在使用ServiceDesk Plus赋能IT处事料理。软件源自匠心,IT更正寰宇用科技让使命与生计更浪漫好意思好卓豪(zoho)于1996年景立sex5,于今已厚实发展28年。寰宇500强企业向上70%皆在使用ManageEngine卓豪产物;28年里坚握以技艺为导向,以惩办用户需求为起点。恒久提供IT前沿技艺为用户创造更大价值。