2023年04月17日-2023年04月23日
本周漏洞态势研判情况
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
珠海派诺科技股份有限公司、珠海必要科技有限公司、重庆亿数信息技术有限公司、重庆市小电天体新能源汽车有限公司、重庆美展科技有限公司、浙江中控技术股份有限公司、浙江兆龙互连科技股份有限公司、浙江宇视科技有限公司、浙江花田网络有限公司、浙江和达科技股份有限公司、浙江达华智慧安保集团有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、永中软件股份有限公司、易家健康管理有限公司、新天科技股份有限公司、新开普电子股份有限公司、西安卓立科技实业有限公司、西安众邦网络科技有限公司、西安交大捷普网络科技有限公司、西安博冠教育科技有限公司、卫宁健康科技集团股份有限公司、万商云集(成都)科技股份有限公司、天维尔信息科技有限公司、天津天堰科技股份有限公司、腾讯安全应急响应中心、随商信息技术(上海)有限公司、随锐科技集团股份有限公司、宿迁鑫潮信息技术有限公司、苏州盛科通信股份有限公司、苏州科达科技股份有限公司、苏州浩辰软件股份有限公司、苏州国网电子科技有限公司、苏州德启智能科技有限公司、四川易泊时捷智能科技有限公司、世讯卫星技术有限公司、深圳维盟科技股份有限公司、深圳市微耕实业有限公司、深圳市同为数码科技股份有限公司、深圳市巨鼎医疗股份有限公司、深圳市吉祥腾达科技有限公司、深圳市丛文安全电子有限公司、绍兴市智辉信息科技有限公司、上海卓卓网络科技有限公司、上海旅烨网络科技有限公司、上海金电网安科技有限公司、上海寰创通信科技股份有限公司、上海华测导航技术股份有限公司、上海泛微网络科技股份有限公司、上海东兰信息技术有限公司、上海德拓信息技术股份有限公司、上海布雷德科技有限公司、上海艾泰科技有限公司、熵基科技股份有限公司、山西企凝信息科技有限公司、厦门四信通信科技有限公司、厦门尚为科技股份有限公司、赛马物联科技(宁夏)有限公司、任子行网络技术股份有限公司、全讯汇聚网络科技(北京)有限公司、青岛易软天创网络科技有限公司、青岛聚城网络科技有限公司、普联技术有限公司、南京科远智慧科技集团股份有限公司、龙图腾网科技(合肥)股份有限公司、科来网络技术股份有限公司、江苏麦维智能科技有限公司、江苏弘电科技发展有限公司、济南卓源软件有限公司、吉翁电子(深圳)有限公司、基康仪器股份有限公司、河南科爵电子科技有限公司、和利时信安院、杭州云润科技有限公司、杭州雄伟科技开发股份有限公司、杭州飞致云信息科技有限公司、哈尔滨伟成科技有限公司、国资数据中心有限责任公司、广州中望龙腾软件股份有限公司、广州市和丰自动化科技有限公司、广东凯格科技有限公司、广东飞企互联科技股份有限公司、福州网钛软件科技有限公司、泛海物业管理有限公司、帆软软件有限公司、东华医为科技有限公司、北京优锘科技有限公司、北京亿赛通科技发展有限责任公司、北京亚控科技发展有限公司、北京亚鸿世纪科技发展有限公司、北京小桔科技有限公司、北京神州数码云科信息技术有限公司、北京慕华信息科技有限公司、北京金和网络股份有限公司、北京和欣运达科技有限公司、北京佰才邦技术股份有限公司、北京百卓网络技术有限公司、北京奥博威斯科技有限公司、包头市助友科技有限公司、百洋智能科技集团股份有限公司、安美世纪(北京)科技有限公司、安徽中技国医医疗科技有限公司、安徽商信政通信息技术股份有限公司和semcms。
本周,CNVD发布了《Oracle发布2023年4月的安全公告》。详情参见CNVD网站公告内容。
https://www.cnvd.org.cn/webinfo/show/8781
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Adobe产品安全漏洞
Adobe Substance 3D Designer是美国奥多比(Adobe)公司的一款3D设计软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Adobe Substance 3D Designer堆缓冲区溢出漏洞(CNVD-2023-29793、CNVD-2023-29794)、Adobe Substance 3D Designer堆栈缓冲区溢出漏洞、Adobe Substance 3D Designer越界读取漏洞(CNVD-2023-29799、CNVD-2023-29801、CNVD-2023-29800)、Adobe Substance 3D Designer内存错误引用漏洞(CNVD-2023-29802、CNVD-2023-29803)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29794
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29793
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29797
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29799
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29801
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29800
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29803
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29802
2、SAP产品安全漏洞
SAP Landscape Management是德国思爱普(SAP)公司的一套SAP产品集中管理系统。SAP NetWeaver AS Java是一款提供了Java运行环境的应用程序服务器。该产品主要用于开发和运行Java EE应用程序。SAP ABAP Platform是一个基于ABAP的SAP解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取和修改一些敏感信息,提升权限等。
CNVD收录的相关漏洞包括:SAP Landscape Management信息泄露漏洞(CNVD-2023-28117)、SAP NetWeaver AS Java访问控制错误漏洞、SAP ABAP Platform路径遍历漏洞、SAP NetWeaver AS Java授权问题漏洞(CNVD-2023-28121)、SAP NetWeaver AS授权问题漏洞、SAP NetWeaver Application Server访问控制错误漏洞、SAP NetWeaver跨站脚本漏洞(CNVD-2023-28125)、SAP NetWeaver AS输入验证错误漏洞(CNVD-2023-28124)。其中,“SAP Landscape Management信息泄露漏洞(CNVD-2023-28117)、SAP ABAP Platform路径遍历漏洞、SAP NetWeaver AS授权问题漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28117
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28120
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28119
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28121
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28123
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28122
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28125
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28124
3、Cisco产品安全漏洞
Cisco Firepower Management Center(FMC)是美国思科(Cisco)公司的新一代防火墙管理中心软件。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞对受影响设备进行存储型跨站脚本(XSS)攻击。
CNVD收录的相关漏洞包括:Cisco Firepower Management Center跨站脚本漏洞(CNVD-2023-28093、CNVD-2023-28092、CNVD-2023-28096、CNVD-2023-28095、CNVD-2023-28094、CNVD-2023-28100、CNVD-2023-28099、CNVD-2023-28098)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28093
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28092
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28096
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28095
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28094
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28100
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28099
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28098
4、Microsoft产品安全漏洞
Microsoft PostScript Printer Driver是美国微软(Microsoft)公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是一个打印机驱动软件。Microsoft Windows是一款窗口化操作系统。Microsoft Azure是一套开放的企业级云计算平台。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,特权提升,远程执行代码等。
CNVD收录的相关漏洞包括:Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞(CNVD-2023-28102、CNVD-2023-28103、CNVD-2023-28109、CNVD-2023-28111)、Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞(CNVD-2023-28105)、Microsoft PostScript and PCL6 Class Printer Driver权限提升漏洞、Microsoft Visual Studio远程代码执行漏洞(CNVD-2023-29362)、Microsoft Azure Service Connector安全功能绕过漏洞。其中,除“Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞(CNVD-2023-28105)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28102
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28105
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28103
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28109
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28111
https://www.cnvd.org.cn/flaw/show/CNVD-2023-28110
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29362
https://www.cnvd.org.cn/flaw/show/CNVD-2023-29796
5、Dell PowerPath Management Appliance信息泄露漏洞
Dell PowerPath Management Appliance是美国戴尔(Dell)公司的一种PowerPath主机管理应用程序,提供两种模型:基于虚拟机的设备和Docker容器化设备。本周,Dell PowerPath Management Appliance被披露存在信息泄露漏洞,攻击者可利用该漏洞查看储存在日志中的敏感信息。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外,SAP、Cisco、Microsoft等多款产品被披露存在多个漏洞,攻击者可利用漏洞对受影响设备进行存储型跨站脚本(XSS)攻击,导致信息泄露,特权提升,远程执行代码等。另外,Dell PowerPath Management Appliance被披露存在信息泄露漏洞,攻击者可利用该漏洞查看储存在日志中的敏感信息。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论