G危風險漏洞一直是企業(yè)網絡安全防護的薄弱點，也成為HW攻防演練期間紅隊的重要突破口；每年HW期間爆發(fā)了大量的G危風險漏洞成為紅隊突破網絡邊界防護的一把利器，很多企業(yè)因為這些G危漏洞而導致整個防御體系被突破、甚至靶標失守而遺憾出局。2024年HW（J攻防演練）已經開始，斗象科技發(fā)布《2024攻防演練必修G危漏洞集合（4.0版）》，意在幫助企業(yè)在HW攻防演練的前期進行自我風險排查，降低因G危漏洞而“城池失守”的風險。

本次報告整合了自2023年1月份至2023年7月份在攻防演練被紅隊利用頻繁且對企業(yè)危害較G的漏洞，包含了詳細的漏洞基礎信息、檢測規(guī)則和修復方案，企業(yè)可根據自身資產信息進行針對性的排查、配置封堵策略和漏洞修復相關工作。

●遠程代碼執(zhí)行漏洞漏洞數量：11個涉及廠商：apache、ManageEngine、adobe、瑞友天翼、PowerJob、dedecms、大華股份、sugarcrm、oracle

●命令注入漏洞數量：5個涉及廠商：禪道、tp-link、vmware、apache、nginx、

●任意文件上傳漏洞數量：3個涉及廠商：海康威視、weaver、dahuasecurity

●SQL注入漏洞漏洞數量：2個涉及廠商：weaver、北京暢捷通信息技術有限公司