第四师网络安全通报

2023年第 32 期

 

第四师可克达拉市网络与信息安全信息通报中心        2023年8月22日

 

2023年CNVD漏洞周报32期（2023年08月14日-2023年08月20日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞398个，其中高危漏洞170个、中危漏洞206个、低危漏洞22个。漏洞平均分值为6.48。本周收录的漏洞中，涉及0day漏洞308个（占77%），其中互联网上出现“MotoCMS SQL注入漏洞、Total CMS文件上传漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数22602个，与上

周（6410个）环比增加2.53倍。

图1 CNVD收录漏洞近10周平均分值分布图

 二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件10起，向基础电信企业通报漏洞事件10起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件789起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件98起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件35起。

 三、本周漏洞按类型和厂商统计

本周，CNVD收录了398个漏洞。WEB应用202个，应用程序106个，网络设备（交换机、路由器等网络端设备）57个，操作系统15个，智能设备（物联网终端设备）13个，安全产品5个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

 本周，CNVD收录了42个电信行业漏洞，44个移动互联网行业漏洞，12个工控行业漏洞（如下图所示）。其中，“Tenda 4G300缓冲区溢出漏洞、TP-LINK Archer AX21缓冲区溢出漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

 

 

 

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

 

五、本周重要漏洞安全告警

 本周，CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。V8是其中的一套开源JavaScript引擎。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome代码执行漏洞（CNVD-2023-63463、CNVD-2023-63464、CNVD-2023-63465、CNVD-2023-63467、CNVD-2023-63468、CNVD-2023-63469、CNVD-2023-63470、CNVD-2023-63471）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63463

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63464

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63465

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63467

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63468

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63469

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63470

https://www.cnvd.org.cn/flaw/show/CNVD-2023-63471

2、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致越界读取，系统崩溃或提升其在系统上的权限等。

CNVD收录的相关漏洞包括：Linux kernel内存错误引用漏洞（CNVD-2023-62923）、Linux kernel拒绝服务漏洞（CNVD-2023-62922）、Linux kernel缓冲区溢出漏洞（CNVD-2023-62927）、Linux kernel越界读取漏洞（CNVD-2023-62926）、Linux kernel vcs_read内存错误引用漏洞、Linux kernel输入验证错误漏洞（CNVD-2023-62931）、Linux kernel fbcon.c文件越界读取漏洞、Linux kernel smb2pdu.c文件越界读取漏洞（CNVD-2023-62929）。其中，“Linux kernel拒绝服务漏洞（CNVD-2023-62922）、Linux kernel输入验证错误漏洞（CNVD-2023-62931）、Linux kernel smb2pdu.c文件越界读取漏洞（CNVD-2023-62929）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62923

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62922

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62927

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62926

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62925

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62931

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62930

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62929

3、Cisco产品安全漏洞

Cisco Webex Meetings是美国思科（Cisco）公司的一套视频会议解决方案。Cisco SD-WAN vManage是美国思科（Cisco）公司的一个高度可定制的仪表板。可简化和自动化Cisco SD-WAN的部署、配置、管理和操作。Cisco AsyncOS是美国思科（Cisco）公司的产品。Cisco AsyncOS是一款应用于思科设备的操作系统。Cisco DNA Center是美国思科（Cisco）公司的一个网络管理和命令中心服务。Cisco Secure Workload是美国思科（Cisco）公司的一种允许用户在其应用程序工作负载上安装软件代理的软件。Cisco StarOS是美国思科（Cisco）公司的一套虚拟化操作系统。Cisco Smart Software Manager On-Prem（SSM On-Prem）是美国思科（Cisco）公司的一款用于Cisco产品许可证管理的组件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML，获得读取权限或有限的写入权限，以根用户身份从受限容器中读取信息、枚举用户信息或在受限容器中执行任意命令等。

CNVD收录的相关漏洞包括：Cisco Webex Meetings跨站脚本漏洞（CNVD-2023-62934）、Cisco SD-WAN vManage输入验证错误漏洞（CNVD-2023-62933）、Cisco AsyncOS输入验证错误漏洞、Cisco DNA Center授权问题漏洞、Cisco Secure Workload OpenAPI特权提升漏洞、Cisco Webex Meetings跨站请求伪造漏洞、Cisco StarOS输入验证错误漏洞、Cisco Smart Software Manager On-Prem SQL注入漏洞。其中，“Cisco SD-WAN vManage输入验证错误漏洞（CNVD-2023-62933）、Cisco StarOS输入验证错误漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62934

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62933

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62932

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62937

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62936

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62935

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62940

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62939

4、Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致敏感内存泄露，通过绕过API黑名单功能在当前用户的上下文中导致任意代码执行等。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader越界读取漏洞（CNVD-2023-62945、CNVD-2023-62948、CNVD-2023-62946、CNVD-2023-62951、CNVD-2023-62949、CNVD-2023-62953）、Adobe Acrobat Reader访问控制错误漏洞（CNVD-2023-62944）、Adobe Acrobat Reader越界写入漏洞（CNVD-2023-62947）。其中“Adobe Acrobat Reader访问控制错误漏洞（CNVD-2023-62944）、Adobe Acrobat Reader越界写入漏洞（CNVD-2023-62947）、Adobe Acrobat Reader越界读取漏洞（CNVD-2023-62951）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62945

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62944

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62948

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62947

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62946

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62951

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62949

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62953

5、ASUS RT-AX88U ej.c缓冲区溢出漏洞

ASUS RT-AX88U是中国华硕（ASUS）公司的一个无线路由器。本周，ASUS RT-AX88U被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞向设备发送特制请求，导致httpd二进制文件在ej.c的do_json_decode()函数中崩溃，从而导致DoS。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-63439

六、小结

本周，Google产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。此外，Linux、Cisco、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致越界读取，系统崩溃或提升其在系统上的权限，以根用户身份从受限容器中读取信息、枚举用户信息或在受限容器中执行任意命令等。另外，ASUS RT-AX88U被披露存在缓冲区溢出漏洞。攻击者可利用漏洞向设备发送特制请求，导致httpd二进制文件在ej.c的do_json_decode()函数中崩溃，从而导致DoS。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。