第四师网络安全通报

2023年第 46期

 

第四师可克达拉市网络与信息安全信息通报中心       2023年10月31日

 

2023年CNVD漏洞周报（2023年10月23日-2023年10月29日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞447个，其中高危漏洞187个、中危漏洞249个、低危漏洞11个。漏洞平均分值为6.42。本周收录的漏洞中，涉及0day漏洞387个（占87%），其中互联网上出现“Mediawiki输入验证错误漏洞（CNVD-2023-79688）、Diafan CMS跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数12213个，与上周（11677个）环比增多5%。

图1 CNVD收录漏洞近10周平均分值分布图

 二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件27起，向基础电信企业通报漏洞事件12起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1203起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件184起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件70起。

 三、本周漏洞按类型和厂商统计

本周，CNVD收录了447个漏洞。WEB应用228个，应用程序105个，网络设备（交换机、路由器等网络端设备）76个，智能设备（物联网终端设备）19个，安全产品15个，操作系统4个。

 

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

 本周，CNVD收录了20个电信行业漏洞，70个移动互联网行业漏洞，5个工控行业漏洞（如下图所示）。其中，“ASUS RT-AC86U命令注入漏洞（CNVD-2023-70091）、Oracle Database Server安全绕过漏洞”等漏洞的综合评级为“高危” 。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

 

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

 五、本周重要漏洞安全告警

 本周，CNVD整理和发布以下重要安全漏洞信息。

1、Siemens产品安全漏洞

Siemens QMS Automotive是德国西门子（Siemens）公司的一个汽车行业的质量管理系统。Siemens Tecnomatix Plant Simulation是工控设备，利用离散事件仿真进行生产量分析和优化，进而改善制造系统性能。Siemens Solid Edge是一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问数据库，篡改应用程序代码，上传恶意文件，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens QMS Automotive访问控制错误漏洞、Siemens QMS Automotive代码问题漏洞、Siemens QMS Automotive信息泄露漏洞（CNVD-2023-71222）、Siemens QMS Automotive数据伪造问题漏洞、Siemens Tecnomatix Plant Simulation缓冲区溢出漏洞、Siemens Solid Edge内存错误引用漏洞（CNVD-2023-71238）、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-71239、CNVD-2023-71240）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71218

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71217

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71222

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71221

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71231

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71238

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71239

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71240

本周，CNVD整理和发布以下重要安全漏洞信息。

1、IBM产品安全漏洞

IBM App Connect Enterprise是美国国际商业机器（IBM）公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合，提供一个可满足现代数字企业全面集成需求的平台。IBM Robotic Process Automation是美国国际商业机器（IBM）公司的一种机器人流程自动化产品。 IBM Integration Bus是美国IBM公司的一款企业服务总线（ESB）产品。该产品为面向服务架构（SOA）环境和非SOA环境提供连通性和通用数据转换。IBM Sterling Partner Engagement Manager是美国国际商业机器（IBM）公司的一个自动化管理工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从API日志中获取敏感信息，进行拒绝服务攻击，执行非法SQL命令获取数据库敏感数据。

CNVD收录的相关漏洞包括：IBM App Connect Enterprise信息泄露漏洞、IBM Robotic Process Automation信息泄露漏洞（CNVD-2023-79713）、IBM App Connect Enterprise and IBM Integration Bus拒绝服务漏洞、IBM Robotic Process Automation授权问题漏洞（CNVD-2023-79715）、IBM Robotic Process Automation安全绕过漏洞、IBM Robotic Process Automation访问控制错误漏洞（CNVD-2023-79718）、IBM Sterling Partner Engagement Manager拒绝服务漏洞、IBM Sterling Partner Engagement Manager SQL注入漏洞。其中，“IBM Robotic Process Automation访问控制错误漏洞（CNVD-2023-79718）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79711

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79713

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79712

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79715

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79714

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79718

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79717

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79716

2、Cisco产品安全漏洞

Cisco DNA Center是美国思科（Cisco）公司的一个网络管理和命令中心服务。Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco Catalyst SD-WAN Manager是一款开放、安全的云级架构管理控制台。Cisco vManage是一个高度可定制的控制面板，可简化并自动执行Cisco SD-WAN部署、配置、管理与运营。Cisco Catalyst是美国思科（Cisco）公司的一系列交换机。Cisco Emergency Responder是美国思科（Cisco）公司的一款应急响应框架。Cisco Wireless LAN Controller（WLC）是美国思科（Cisco）公司的一款无线局域网控制器产品。该产品在无线局域网中提供安全策略、入侵检测等功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，可读取和修改数据库数据，提升权限，读取、写入或删除底层操作系统上的任意文件，并将其权限升级为root等。

CNVD收录的相关漏洞包括：Cisco DNA Center API存在访问控制错误漏洞、Cisco Identity Services Engine授权问题漏洞（CNVD-2023-79690）、Cisco Catalyst SD-WAN Manager本地文件包含漏洞、Cisco Catalyst SD-WAN Manager未授权访问漏洞、Cisco Catalyst SD-WAN Manager授权绕过漏洞、Cisco Catalyst SD-WAN Manager HTML注入漏洞、Cisco Emergency Responder信任管理问题漏洞、Cisco Wireless LAN Controller缓冲区溢出漏洞。其中，“Cisco DNA Center API存在访问控制错误漏洞、Cisco Catalyst SD-WAN Manager未授权访问漏洞、Cisco Catalyst SD-WAN Manager授权绕过漏洞、Cisco Emergency Responder信任管理问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79686

https://www.cnvd.org.cn/flaw/show/CNVD-2023-79690

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80110

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80115

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80114

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80113

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80112

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80111

3、Microsoft产品安全漏洞

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft Excel信息泄露漏洞（CNVD-2023-80108、CNVD-2023-80153）、Microsoft Excel代码执行漏洞（CNVD-2023-80109、CNVD-2023-80162、CNVD-2023-80163、CNVD-2023-80164、CNVD-2023-80165）、Microsoft Excel拒绝服务漏洞（CNVD-2023-80166）。其中，除“Microsoft Excel信息泄露漏洞（CNVD-2023-80108、CNVD-2023-80153）、Microsoft Excel拒绝服务漏洞（CNVD-2023-80166）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80108

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80109

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80153

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80162

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80163

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80164

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80165

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80166

4、Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。Apache Jackrabbit是美国阿帕奇（Apache）公司的一个内容存储库。Apache Helix是美国阿帕奇（Apache）基金会的一个通用集群管理框架，用于自动管理托管在节点集群上的分区、复制和分布式资源。Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Linkis是美国阿帕奇（Apache）基金会的一个库。有助于轻松连接各种后端计算/存储引擎。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行授权绕过，使用代理的管理角色向任何话题生成消息，导致任意代码执行等。

CNVD收录的相关漏洞包括：Apache Airflow授权问题漏洞（CNVD-2023-80561）、Apache InLong数据伪造问题漏洞、Apache InLong代码问题漏洞、Apache Pulsar授权问题漏洞、Apache Jackrabbit代码执行漏洞、Apache Helix反序列化漏洞、Apache Tomcat开放重定向漏洞（CNVD-2023-80565）、Apache Linkis代码执行漏洞（CNVD-2023-80566）。其中，除“Apache Airflow授权问题漏洞（CNVD-2023-80561）、Apache InLong数据伪造问题漏洞、Apache Tomcat开放重定向漏洞（CNVD-2023-80565）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80561

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80560

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80559

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80564

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80563

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80562

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80565

https://www.cnvd.org.cn/flaw/show/CNVD-2023-80566

5、DedeBIZ代码执行漏洞

DedeBIZ是中国穆云智能科技（DedeBIZ）公司的一个内容管理系统。本周，DedeBIZ被披露存在代码执行漏洞。攻击者可利用该漏洞导致任意代码执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-80116

六、小结

本周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞从API日志中获取敏感信息，进行拒绝服务攻击，执行非法SQL命令获取数据库敏感数据。此外，Cisco、Microsoft、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞提交特殊的请求，可读取和修改数据库数据，提升权限，读取、写入或删除底层操作系统上的任意文件，并将其权限升级为root等。另外，DedeBIZ被披露存在代码执行漏洞。攻击者可利用该漏洞导致任意代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。