JetBrains TeamCity 身份验证绕过漏洞（CVE-2024-27198）

2023年9月，APT29曾利用一个类似的漏洞CVE-2023-42793进行过在野攻击。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

Apache OFBiz目录遍历漏洞通告（CVE-2024-25065）

该漏洞存在于Apache OFBiz中，是一个路径遍历漏洞。由于在LoginWorker::hasBasePermission中未充分验证用户输入的 contextPath，导致存在路径遍历漏洞，未授权的攻击者可利用该漏洞绕过身份验证机制，访问敏感信息。

aiohttp 路径遍历漏洞（CVE-2024-23334）

当使用aiohttp启动Web服务并且静态资源解析使用了不安全的参数follow_symlinks=True时，不会检查读取的文件是否位于静态资源目录内，这将会导致目录遍历漏洞，攻击者利用该漏洞可读取服务器上任意文件。

WordPress Bricks Builder远程命令执行漏洞（CVE-2024-25600）

该漏洞是由于Bricks Builder对PHP中的eval函数使用不当，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器权限。

Microsoft Outlook 远程代码执行漏洞（CVE-2024-21413）

该漏洞存在于Microsoft Outlook 桌面版中，是一个远程代码执行漏洞。攻击者可以利用该漏洞，绕过 Office 受保护的视图并在编辑模式打开文件。该漏洞还可能在预览窗格中发生。成功利用该漏洞可以造成受害者的NTLM哈希泄露和远程代码执行。