2023年04月03日-2023年04月09日
本周漏洞态势研判情况
本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞298个,其中高危漏洞116个、中危漏洞157个、低危漏洞25个。漏洞平均分值为6.19。本周收录的漏洞中,涉及0day漏洞251个(占84%),其中互联网上出现“Subrion CMS跨站脚本漏洞(CNVD-2023-23822)、Sourcecodester Logistic Hub Parcel Management System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数15177个,与上周(24061个)环比减少37%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件21起,向基础电信企业通报漏洞事件63起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件737起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件199起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件98起。
本周漏洞按类型和厂商统计
本周,CNVD收录了298个漏洞。WEB应用155个,应用程序55个,网络设备(交换机、路由器等网络端设备)47个,智能设备(物联网终端设备)30个,安全产品5个,数据库4个,操作系统2个。
表2 漏洞按影响类型统计表
本周行业漏洞收录情况
本周,CNVD收录了36个电信行业漏洞,16个移动互联网行业漏洞。其中,“ Google Android缓冲区溢出漏洞(CNVD-2023-25101)”漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
1、Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,通过精心设计的HTML页面潜在地利用堆损坏。
CNVD收录的相关漏洞包括:Google Chrome ANGLE越界读取漏洞、Google Chrome ANGLE内存错误引用漏洞(CNVD-2023-23573)、Google Pixel bta_av_co.cc文件缓冲区溢出漏洞、Google Chrome越界访问漏洞、Google Pixel ble_scanner_hci_interface.cc文件缓冲区溢出漏洞、Google Chrome Web Payments API组件代码问题漏洞、Google Chrome Navigation组件代码问题漏洞、Google Android缓冲区溢出漏洞(CNVD-2023-25101)。其中“Google Chrome ANGLE越界读取漏洞、Google Chrome ANGLE内存错误引用漏洞(CNVD-2023-23573)、Google Chrome越界访问漏洞、Google Android缓冲区溢出漏洞(CNVD-2023-25101)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23574
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23573
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23572
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23819
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23818
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23821
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23820
https://www.cnvd.org.cn/flaw/show/CNVD-2023-25101
2、Apache产品安全漏洞
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Kafka是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的API网关。Apache Commons FileUpload是美国阿帕奇(Apache)基金会的一个可将文件上传到Servlet和Web应用程序的软件包。Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache Fineract是美国阿帕奇(Apache)基金会的一套开源数字金融服务平台。该平台能够为用户提供数据管理、贷款和储蓄投资组合管理以及实时财务数据等功能。Apache Archiva是美国阿帕奇(Apache)基金会的一套用于管理一个或多个远程存储的软件。该软件提供远程Repository代理、基于角色的安全访问管理和使用情况报告等功能。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在受害者的系统上执行任意代码等。
CNVD收录的相关漏洞包括:Apache Dubbo代码问题漏洞(CNVD-2023-23551)、Apache Airflow信息泄露漏洞(CNVD-2023-23550)、Apache Kafka代码问题漏洞(CNVD-2023-23554)、Apache ShenYu授权问题漏洞(CNVD-2023-23553)、Apache Commons FileUpload拒绝服务漏洞(CNVD-2023-23552)、Apache NiFi XML外部实体注入漏洞(CNVD-2023-23555)、Apache Fineract SQL注入漏洞(CNVD-2023-23557)、Apache Archiva跨站脚本漏洞(CNVD-2023-23556)。其中,除“Apache Airflow信息泄露漏洞(CNVD-2023-23550)、Apache Fineract SQL注入漏洞(CNVD-2023-23557)、Apache Archiva跨站脚本漏洞(CNVD-2023-23556)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23551
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23550
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23554
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23553
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23552
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23555
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23557
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23556
3、Foxit产品安全漏洞
Foxit PDF Editor是中国福昕(Foxit)公司的一款PDF编辑器。Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前进程的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Foxit PDF Editor远程代码执行漏洞(CNVD-2023-23560、CNVD-2023-23563)、Foxit PDF Reader远程代码执行漏洞(CNVD-2023-23565、CNVD-2023-23566、CNVD-2023-23568、CNVD-2023-23567、CNVD-2023-23570、CNVD-2023-23569)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23560
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23563
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23565
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23566
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23568
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23567
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23570
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23569
4、Delta Electronics产品安全漏洞
Delta Electronics InfraSuite Device Master是Delta Electronics的用于简化和自动化关键设备监控的设备。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取本地文件、公开明文凭据并升级权限,远程执行代码等。
CNVD收录的相关漏洞包括:Delta Electronics InfraSuite Device Master路径遍历漏洞(CNVD-2023-23884、CNVD-2023-23890)、Delta Electronics InfraSuite Device Master反序列化漏洞(CNVD-2023-23883、CNVD-2023-23887)、Delta Electronics InfraSuite Device Master认证错误漏洞、Delta Electronics InfraSuite Device Master身份验证错误漏洞、Delta Electronics InfraSuite Device Master命令注入漏洞、Delta Electronics InfraSuite Device Master访问控制错误漏洞(CNVD-2023-23889)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23884
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23883
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23887
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23885
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23892
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23891
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23890
https://www.cnvd.org.cn/flaw/show/CNVD-2023-23889
5、Home Owners Collection Management System文件上传漏洞
Home Owners Collection Management System是一个业主收款管理系统。本周,Home Owners Collection Management System被披露存在文件上传漏洞。攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-25099
小结:本周,Google产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,通过精心设计的HTML页面潜在地利用堆损坏。此外,Apache、Foxit、Delta Electronics等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在受害者的系统上执行任意代码等。另外,Home Owners Collection Management System被披露存在文件上传漏洞。攻击者可利用该漏洞通过精心制作的PHP文件执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论