第四师网络安全通报

2023年第 50 期

 

第四师可克达拉市网络与信息安全信息通报中心       2023年11月13

 

2023年CNVD漏洞周报

（2023年11月06日-2023年11月12日）

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞353个，其中高危漏洞121个、中危漏洞209个、低危漏洞23个。漏洞平均分值为6.30。本周收录的漏洞中，涉及0day漏洞299个（占85%），其中互联网上出现“Evolution CMS跨站脚本漏洞（CNVD-2023-85602）、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数23920个，与上周（20305个）环比增加18%。

图1 CNVD收录漏洞近10周平均分值分布图

 二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件27起，向基础电信企业通报漏洞事件18起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1322起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件231起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件51起。

 三、本周漏洞按类型和厂商统计

本周，CNVD收录了353个漏洞。WEB应用204个，应用程序78个，网络设备（交换机、路由器等网络端设备）32个，智能设备（物联网终端设备）13个，操作系统12个，数据库7个，安全产品6个，车联网1个。

 

 

 

 

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

 本周，CNVD收录了37个电信行业漏洞，49个移动互联网行业漏洞，4个工控行业漏洞（如下图所示）。其中，“Google Android onCreate模块授权问题漏洞、Google Android权限提升漏洞（CNVD-2023-82067）”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

 

 

 

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

图5 工控系统行业漏洞统计

 五、本周重要漏洞安全告警

 本周，CNVD整理和发布以下重要安全漏洞信息。

1、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-84088、CNVD-2023-84087、CNVD-2023-84086、CNVD-2023-84089、CNVD-2023-84092、CNVD-2023-84091、CNVD-2023-84095、CNVD-2023-84094）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84088

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84087

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84086

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84089

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84092

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84091

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84095

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84094

2、IBM产品安全漏洞

IBM WebSphere Application Server Liberty是美国国际商业机器（IBM）公司的一款构建于Open Liberty项目之上的Java应用程序服务器。IBM QRadar SIEM是一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Security Verify Privilege Manager是一个用于公司环境中用于端点特权管理和应用程序控制的安全管理软件。该软件通过从端点移除本地管理权限，阻止恶意软件和勒索软件的无意下载进而攻击应用程序，利用IBM Security Privilege Manager，可立即轻松执行最小特权和应用程序控制。IBM Security Verify Governance是一个身份和访问管理解决方案。它是一种用于管理和监控用户身份、权限和访问的软件系统。IBM Sterling Partner Engagement Manager是一个自动化管理工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，通过发送特制请求在系统上执行任意命令等。

CNVD收录的相关漏洞包括：IBM WebSphere Application Server Liberty资源管理错误漏洞、IBM QRadar SIEM信息泄露漏洞（CNVD-2023-83656）、IBM Security Verify Privilege Manager访问控制错误漏洞、IBM Security Verify Privilege Manager任意文件上传漏洞、IBM Security Verify Governance跨站脚本漏洞、IBM Security Verify Governance硬编码漏洞（CNVD-2023-83661）、IBM Security Verify Governance命令执行漏洞、IBM Sterling Partner Engagement Manager身份验证错误漏洞。其中，“IBM WebSphere Application Server Liberty资源管理错误漏洞、IBM Sterling Partner Engagement Manager身份验证错误漏洞、IBM Security Verify Governance命令执行漏洞、IBM Security Verify Privilege Manager任意文件上传漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83658

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83656

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83664

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83663

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83662

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83661

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83660

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83665

3、Microsoft产品安全漏洞

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，导致系统拒绝服务。

CNVD收录的相关漏洞包括：Microsoft Message Queuing拒绝服务漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）、Microsoft Message Queuing远程代码执行漏洞（CNVD-2023-84126、CNVD-2023-84127、CNVD-2023-84129、CNVD-2023-84128、CNVD-2023-84132）。其中，“Microsoft Message Queuing拒绝服务漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）”漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84123

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84126

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84125

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84124

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84127

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84129

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84128

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84132

4、HCL Technologies 产品安全漏洞

HCL Technologies Commerce是美国HCL Technologies公司的一款用于电子商务的软件平台框架。该软件在可定制的集成软件包中包括营销，销售，客户和订单处理功能。HCL Technologies AppScan Presence是一套动态分析测试工具，它主要用于Web安全测试。HCL Technologies BigFix Mobile是一款移动设备管理（Mobile Device Management，MDM）解决方案。它旨在帮助企业和组织有效地管理和保护移动设备，包括智能手机、平板电脑和其他移动设备。HCL Technologies Traveler Companion是一款ios Iphone和Ipad应用程序。用于在Apple设备上阅读加密的Hcl Notes邮件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用特制的URL读取系统上的任意文件，获得提升的权限，上传恶意脚本，在系统上执行任意PHP代码等。

CNVD收录的相关漏洞包括：HCL Technologies Commerce目录遍历漏洞、HCL Technologies AppScan Presence权限提升漏洞、HCL Technologies Compass访问控制错误漏洞、HCL Technologies Compass弱密码漏洞、HCL Technologies Compass文件上传漏洞、HCL Technologies BigFix Mobile跨站脚本漏洞、HCL Technologies BigFix Mobile命令注入漏洞、HCL Technologies Traveler Companion信息泄露漏洞。其中，“HCL Technologies Compass访问控制错误漏洞、HCL Technologies Compass弱密码漏洞、HCL Technologies Compass文件上传漏洞、HCL Technologies BigFix Mobile命令注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84324

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84325

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84326

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84327

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84328

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84330

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84331

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84332

5、Zoo Management System跨站脚本漏洞（CNVD-2023-85427）

Zoo Management System是一个动物园管理系统。为动物园企业提供了一个在线和自动化平台来管理他们的日常记录。本周，Zoo Management System被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-85427

六、小结

本周，Google产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升。此外，IBM、Microsoft、HCL Technologies等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用特制的URL读取系统上的任意文件，获得提升的权限，通过发送特制请求在系统上执行任意命令等。另外，Zoo Management System被披露存在跨站脚本漏洞。攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。