SonicWall GMS/Analytics 多个高危漏洞安全风险通告

2023年7月13日18:23:51评论81 views字数 2128阅读7分5秒阅读模式

● 点击↑蓝字关注我们，获取更多安全风险通告

漏洞概述
漏洞名称	SonicWall GMS/Analytics多个高危漏洞
漏洞编号	CVE-2023-34133、CVE-2023-34124、CVE-2023-34137
公开时间	2023-07-12	影响对象数量级	十万级
奇安信评级	高危	CVSS 3.1分数	9.8
威胁类型	代码执行、身份认证绕过	利用可能性	中
POC状态	未公开	在野利用状态	未发现
EXP状态	未公开	技术细节状态	未公开
危害描述：未经身份验证的远程攻击者利用这些漏洞可以获取敏感信息或执行危险操作。

漏洞详情

>>>>

影响组件

SonicWall Global Management System (GMS) Series为组织、分布式企业和服务提供商提供了一个强大、直观的解决方案，可以快速部署和集中管理 SonicWall防火墙、反垃圾邮件、备份和恢复以及安全远程访问解决方案。

SonicWall Analytics 是高性能管理和报告引擎，可以实现即时查看网络和用户的威胁情报。

>>>>

漏洞描述

近日，奇安信CERT监测到SonicWall官方发布的安全风险通告中包括多个高危漏洞，SonicWall GMS/Analytics SQL注入漏洞(CVE-2023-34133)、SonicWall GMS/Analytics Web服务身份认证绕过漏洞(CVE-2023-34124)、SonicWall GMS/Analytics CAS 身份验证绕过漏洞(CVE-2023-34137)。未经身份验证的远程攻击者利用这些漏洞可以获取敏感信息或执行危险操作。鉴于这些漏洞影响范围较大，建议用户尽快自查更新。

漏洞名称	漏洞描述
SonicWall GMS/Analytics SQL注入漏洞(CVE-2023-34133)	SonicWall GMS/Analytics中存在SQL注入漏洞，未经身份认证的远程攻击者利用该漏洞可以执行SQL语句获取敏感信息，进一步利用可能获取目标系统权限等。
SonicWall GMS/Analytics Web服务身份认证绕过漏洞(CVE-2023-34124)	SonicWall GMS/Analytics中存在Web 服务身份验证绕过漏洞，未经身份认证的远程攻击者利用该漏洞可以绕过身份认证登录系统，获取敏感信息或执行敏感操作。
SonicWall GMS/Analytics CAS 身份验证绕过漏洞(CVE-2023-34137)	SonicWall GMS/Analytics中存在CAS 身份验证绕过漏洞，未经身份认证的远程攻击者利用该漏洞可以绕过身份认证登录系统，获取敏感信息或执行敏感操作。

影响范围

>>>>

影响版本

SonicWall GMS <= 9.3.2-SP1

SonicWall Analytics <= 2.5.0.4-R7

>>>>

其他受影响组件

无

处置建议

>>>>

安全更新

目前官方已发布安全版本修复该漏洞，建议受影响用户尽快更新安全版本：

SonicWall GMS 9.3.3及以上

SonicWall Analytics 2.5.2及以上

部署指南详见：

1、GMS 9.3.x：

https://www.sonicwall.com/techdocs/pdf/gms-9-3-upgrade-guide.pdf

2、Analytics 2.5.x ：

https://www.sonicwall.com/techdocs/pdf/232-005167-00_RevC_Analytics_2.5_ESXi_DeploymentGuide.pdf

https://www.sonicwall.com/techdocs/pdf/232-004743-00_RevD_On-Prem_Analytics_Hyper-V_DeploymentGuide.pdf

https://www.sonicwall.com/techdocs/pdf/232-004741-00_RevE_Analytics_2.5_Azure_DeploymentGuide.pdf

更多信息请参考：

https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-gms-analytics-impacted-by-suite-of-vulnerabilities/230710150218060/

参考资料

[1]https://www.sonicwall.com/support/product-notification/urgent-security-notice-sonicwall-gms-analytics-impacted-by-suite-of-vulnerabilities/230710150218060/

时间线

2023年7月13日，奇安信 CERT发布安全风险通告。

奇安信 CERT

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

点击↓阅读原文，到NOX安全监测平台查看更多漏洞信息。

原文始发于微信公众号（奇安信 CERT）：SonicWall GMS/Analytics 多个高危漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

SonicWall GMS/Analytics 多个高危漏洞安全风险通告

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞

UNACMS PHP对象注入漏洞(CVE-2025-32101)

MRCMS（蘑菇建站）跨站脚本漏洞及解决方法（CNVD-2025-05252、CVE-2025-2195）

【风险通告】PyTorch存在远程代码执行漏洞（CVE-2025-32434）

PyTorch 中存在严重的RCE漏洞

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

发表评论

在线咨询

微信