第四师网络安全通报

2023年第 20 期

 

第四师可克达拉市网络与信息安全信息通报中心        2023年7月20日

 

2023年CNVD漏洞周报（2023年07月10日-2023年07月16日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞326个，其中高危漏洞152个、中危漏洞156个、低危漏洞18个。漏洞平均分值为6.42。本周收录的漏洞中，涉及0day漏洞249个（占76%），其中互联网上出现“Milesight UR32L firewall_handler_set函数缓冲区溢出漏洞（CNVD-2023-55360、CNVD-2023-55361）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数11081个，与上周（7156个）环比增加55%。

图1 CNVD收录漏洞近10周平均分值分布图

 二、本周漏洞事件处置情况

 本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件24起，向基础电信企业通报漏洞事件14起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件698起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件123起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件49起。

 三、本周漏洞按类型和厂商统计

 本周，CNVD收录了326个漏洞。WEB应用162个，应用程序63个，网络设备（交换机、路由器等网络端设备）58个，操作系统25个，智能设备（物联网终端设备）18个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

 本周，CNVD收录了46个电信行业漏洞，44个移动互联网行业漏洞，7个工控行业漏洞（如下图所示）。其中，“H3C Magic R300堆栈溢出漏洞、Google Android缓冲区溢出漏洞（CNVD-2023-52817） ”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

 

五、本周重要漏洞安全告警

 本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader资源管理错误漏洞（CNVD-2023-55032、CNVD-2023-55035、CNVD-2023-55034、CNVD-2023-55033、CNVD-2023-55038、CNVD-2023-55037、CNVD-2023-55036）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-55030）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

2、Mozilla产品安全漏洞

Mozilla Firefox ESR是美国Mozilla基金会的Firefox（Web浏览器）的一个延长支持版本。Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使应用程序崩溃或以应用程序上下文执行任意代码等。

CNVD收录的相关漏洞包括：Mozilla Firefox ESR缓冲区溢出漏洞（CNVD-2023-55348）、Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-55349、CNVD-2023-55351、CNVD-2023-55350、CNVD-2023-55354）、Mozilla Firefox代码问题漏洞（CNVD-2023-55355）、Mozilla Firefox ESR拒绝服务漏洞（CNVD-2023-55353）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-55356）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55348

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55349

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55351

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55350

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55355

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55354

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55353

https://www.cnvd.org.cn/flaw/show/CNVD-2023-55356

3、Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。Apache Airflow Hive Provider是一个使用SQL读取、写入和管理分布式存储中的大型数据集的工具包。Apache StreamPipes是美国阿帕奇（Apache）基金会的一个自助式（工业）物联网工具箱，使非技术用户能够连接、分析和探索IIoT数据流。Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Apache Hive Provider代码执行漏洞、Apache Airflow JDBC Provider代码执行漏洞、Apache Airflow ODBC Provider远程代码执行漏洞、Apache StreamPipes权限提升漏洞、Apache Airflow信息泄露漏洞（CNVD-2023-55401）、Apache Struts拒绝服务漏洞（CNVD-2023-55422、CNVD-2023-55432）、Apache Traffic Server拒绝服务漏洞（CNVD-2023-55453）。其中，除“Apache Traffic Server拒绝服务漏洞（CNVD-2023-55453）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

4、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-55374、CNVD-2023-55375、CNVD-2023-55377、CNVD-2023-55378、CNVD-2023-55380、CNVD-2023-55381）、Google Android代码执行漏洞（CNVD-2023-55382）、Google Android信息泄露漏洞（CNVD-2023-55376）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

5、WordPress插件Tags Cloud Manager跨站脚本漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。本周，WordPress插件Tags Cloud Manager被披露存在跨站脚本漏洞。漏洞是由于用户提供的输入验证不当造成的。攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

六、小结

本周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Mozilla、Apache、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码，导致拒绝服务等。另外，WordPress插件Tags Cloud Manager被披露存在跨站脚本漏洞。攻击者可利用该漏洞窃取受害者基于cookie的身份验证凭据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。