第四师网络安全通报

2023年第 41期

 

第四师可克达拉市网络与信息安全信息通报中心        2023年9月27日

 

2023年CNVD漏洞周报（2023年9月18日-2023年9月24日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞369个，其中高危漏洞145个、中危漏洞205个、低危漏洞19个。漏洞平均分值为6.30。本周收录的漏洞中，涉及0day漏洞306个（占83%），其中互联

图1  CNVD收录漏洞近10周平均分值分布图

网上出现“JFinalCMS目录遍历漏洞、WordPress Leyka plugin跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数17693个，与上周（8319个）环比增加1.13倍 。

二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件26起，向基础电信企业通报漏洞事件12起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件967起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件134起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件39起。

三、本周漏洞按类型和厂商统计

本周，CNVD收录了369个漏洞。WEB应用191个，应用程序97个，网络设备（交换机、路由器等网络端设备）35个，操作系统24个，安全产品11个，数据库6个，智能设

备（物联网终端设备）5个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

本周，CNVD收录了20个电信行业漏洞，70个移动互联网行业漏洞，5个工控行业漏洞（如下图所示）。其中，“ASUS RT-AC86U命令注入漏洞（CNVD-2023-70091）、Oracle Database Server安全绕过漏洞”等漏洞的综合评级为“高危” 。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Siemens产品安全漏洞

Siemens QMS Automotive是德国西门子（Siemens）公司的一个汽车行业的质量管理系统。Siemens Tecnomatix Plant Simulation是工控设备，利用离散事件仿真进行生产量分析和优化，进而改善制造系统性能。Siemens Solid Edge是一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问数据库，篡改应用程序代码，上传恶意文件，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens QMS Automotive访问控制错误漏洞、Siemens QMS Automotive代码问题漏洞、Siemens QMS Automotive信息泄露漏洞（CNVD-2023-71222）、Siemens QMS Automotive数据伪造问题漏洞、Siemens Tecnomatix Plant Simulation缓冲区溢出漏洞、Siemens Solid Edge内存错误引用漏洞（CNVD-2023-71238）、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-71239、CNVD-2023-71240）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71218

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71217

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71222

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71221

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71231

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71238

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71239

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71240

2、Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个基于微内核的全场景分布式操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过授权并获得访问权限，发送特制的请求，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei HarmonyOS安全限制绕过漏洞（CNVD-2023-70288、CNVD-2023-70287、CNVD-2023-70286）、Huawei HarmonyOS权限提升漏洞（CNVD-2023-70290）、Huawei HarmonyOS拒绝服务漏洞（CNVD-2023-70294、CNVD-2023-70293、CNVD-2023-70292、CNVD-2023-70285）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70285

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70288

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70287

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70286

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70290

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70294

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70293

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70292

3、Apache产品安全漏洞

Apache Superset是一款由Python语言为主开发的开源时髦数据探索分析以及可视化的报表平台，支持丰富的数据源，且拥有多姿多彩的可视化图表选择。Apache Axis是一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API，以生成和部署Web服务应用。Apache InLong是一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache RocketMQ是一款轻量级的数据处理平台和消息传递引擎。Apache Jena是一个Java语义网框架。用于构建语义Web和链接数据应用程序。Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过当前逻辑读取任意文件，获取敏感信息，通过连接传递参数实施远程代码执行攻击，从而获取服务器权限等。

CNVD收录的相关漏洞包括：Apache Superset未授权访问漏洞、Apache Axis输入验证错误漏洞、Apache InLong反序列化漏洞（CNVD-2023-70280）、Apache Airflow访问控制错误漏洞（CNVD-2023-70279）、Apache Airflow输入验证错误漏洞（CNVD-2023-70278）、Apache RocketMQ代码注入漏洞、Apache Jena代码执行漏洞、Apache Shiro路径遍历漏洞。其中，除“Apache Superset未授权访问漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70277

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70275

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70280

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70279

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70278

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70283

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70282

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70281

4、Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，获取系统上的高级权限。

CNVD收录的相关漏洞包括：Linux kernel权限提升漏洞（CNVD-2023-70080、CNVD-2023-70079、CNVD-2023-70083、CNVD-2023-70082、CNVD-2023-70081、CNVD-2023-70086、CNVD-2023-70085、CNVD-2023-70084）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70080

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70079

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70083

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70082

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70081

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70086

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70085

https://www.cnvd.org.cn/flaw/show/CNVD-2023-70084

5、ASUS RT-AX55命令注入漏洞

ASUS RT-AX55是中国华硕（ASUS）公司的一款双频Wi-Fi路由器。本周，ASUS RT-AX55被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-70089