第四师网络安全通报

2023年第 17 期

 

第四师可克达拉市网络与信息安全信息通报中心        2023年6月29日

 

2023年CNVD漏洞周报（2023年06月19日-2023年06月23日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞308个，其中高危漏洞207个、中危漏洞93个、低危漏洞8个。漏洞平均分值为7.05。本周收录的漏洞中，涉及0day漏洞241个（占78%），其中互联网上出现“Tenda AC10堆栈缓冲区溢出漏洞、iKuai8命令注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数9819个，与上周（14881个）环比减少34%。

CNVD收录漏洞近10周平均分值分布图

二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件22起，向基础电信企业通报漏洞事21起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1068起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件282起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件42起。

三、本周漏洞按类型和厂商统计

本周，CNVD收录了308个漏洞。WEB应用170个，应用程序76个，网络设备（交换机、路由器等网络端设备）48个，操作系统10个，智能设备（物联网终端设备4个。

本周漏洞按影响类型分布

 

四、本周行业漏洞收录情况

本周，CNVD收录了29个电信行业漏洞，31个移动互联网行业漏洞，14个工控行业漏洞（如下图所示）。其中，“Rockwell Automation Arena Simulation Software缓冲区溢出漏洞、Google Android权限提升漏洞（CNVD-2023-50310）”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

 

电信行业漏洞链接：http://telecom.cnvd.org.cn/

 

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

 

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

电信行业漏洞统计

移动互联网行业漏洞统计

 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的数字商务解决方案。Adobe Premiere Rush是美国奥多比（Adobe）公司的一套跨平台的视频编辑软件。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Creative Cloud Desktop Application是美国奥多比（Adobe）公司的一套用于在Creative云会员管理中心管理应用程序和服务的应用程序。该程序支持同步和共享文件、管理字体以及访问商业摄影和设计的资产库。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Adobe Commerce任意代码执行漏洞、Adobe Commerce安全绕过漏洞（CNVD-2023-50130）、Adobe Premiere Rush内存错误引用漏洞、Adobe Photoshop内存错误引用漏洞、Adobe Illustrator越界写入漏洞（CNVD-2023-50820、CNVD-2023-50822）、Adobe Illustrator代码执行漏洞（CNVD-2023-50821）、Adobe Creative Cloud Desktop Application代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50124

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50130

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50814

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50817

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50820

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50821

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50822

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50823

2、Foxit产品安全漏洞

Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码，造成拒绝服务（DoS）。

CNVD收录的相关漏洞包括：Foxit PDF Reader拒绝服务漏洞、Foxit PDF Reader资源管理错误漏洞（CNVD-2023-49833、CNVD-2023-49832、CNVD-2023-49836、CNVD-2023-49835、CNVD-2023-49834）、Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-49839、CNVD-2023-49838）。其中，除“Foxit PDF Reader拒绝服务漏洞、Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-49838）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49829

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49833

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49832

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49836

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49835

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49834

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49839

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49838

3、Rockwell Automation产品安全漏洞

Rockwell Automation Kinetix 5500是美国罗克韦尔（Rockwell Automation）公司的第一款采用外部公共交流/直流总线连接系统设计的Kinetix驱动器。 它降低了硬件要求，并允许无缝扩展，对单轴或多轴系统使用单一平台。Rockwell Automation Arena Simulation Software是美国罗克韦尔（Rockwell Automation）公司的一套提供3D动画和图形功能的仿真软件。Rockwell Automation FactoryTalk Vantagepoint是美国罗克韦尔（Rockwell Automation）公司的在统一生产模型（UPM）中组织、关联和规范化制造和生产流程以及业务系统的不同数据的平台。Rockwell Automation ThinManager ThinServer是美国罗克韦尔（Rockwell Automation）公司的一款瘦客户端管理软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过开放端口未经授权访问设备，远程执行任意代码，导致程序崩溃等。

CNVD收录的相关漏洞包括：Rockwell Automation Kinetix 5500访问控制错误漏洞、Rockwell Automation Arena Simulation Software缓冲区溢出漏洞（CNVD-2023-49823、CNVD-2023-49822、CNVD-2023-49821）、Rockwell Automation FactoryTalk Vantagepoint跨站请求伪造漏洞、Rockwell Automation ThinManager ThinServer路径遍历漏洞（CNVD-2023-49827、CNVD-2023-49826）、Rockwell Automation ThinManager ThinServer缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49819

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49823

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49822

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49821

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49820

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49827

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49826

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49825

4、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，造成拒绝服务。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-50309、CNVD-2023-50310、CNVD-2023-50311、CNVD-2023-50829、CNVD-2023-50830）、Google Android拒绝服务漏洞（CNVD-2023-50826）、Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）。其中，除“Google Android信息泄露漏洞（CNVD-2023-50827、CNVD-2023-50828）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50309

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50310

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50311

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50826

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50827

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50828

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50829

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50830

5、D-Link DIR-600命令注入漏洞

D-Link DIR-600是中国友讯（D-Link）公司的一款无线路由器。本周，D-Link DIR-600被披露存在命令注入漏洞。该漏洞源于lxmldbc_system()函数中的ST参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-50813

小结：本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，在系统上执行任意代码。此外，Foxit、Rockwell Automation、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过开放端口未经授权访问设备，获取敏感信息，提升权限，在当前进程的上下文中执行代码，造成拒绝服务等。另外，D-Link DIR-600被披露存在命令注入漏洞，攻击者可利用此漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。