信息安全漏洞月报2023年3月
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2023年3月份采集安全漏洞共2533个。
本月接报漏洞77952个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)77259个,其中漏洞平台推送漏洞76054个。
重大漏洞通报
Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502):成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2023年3月份新增安全漏洞共2533个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布253个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到14.21%。本月新增漏洞中,超危漏洞367个、高危漏洞861个、中危漏洞1247个、低危漏洞58个,相应修复率分别为61.04%、87.69%、84.20%以及94.83%。合计2084个漏洞已有修复补丁发布,本月整体修复率82.27%。
截至2023年3月31日,CNNVD采集漏洞总量已达206431个。
1.1 漏洞增长概况
2023年3月新增安全漏洞2533个,与上月(2104个)相比增加了20.39%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2167个。
图12022年10月至2023年3月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
2023年3月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到253个,占本月漏洞总量的9.99%。
表12023年3月排名前十厂商新增安全漏洞统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
253
9.99%
2
217
8.57%
3
Adobe
106
4.18%
4
Microsoft
77
3.04%
5
Apple
59
2.33%
6
Linux基金会
43
1.70%
7
Aruba Networks
41
1.62%
8
Git
33
1.30%
9
Cisco
31
1.22%
10
IBM
30
1.18%
1.2.2 漏洞产品分布
2023年3月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共55个,Windows 11漏洞数量最多,共52个,占主流操作系统漏洞总量的10.30%,排名第一。
表22023年3月主流操作系统漏洞数量统计表
序号
操作系统名称
漏洞数量
1
Windows 11
52
2
Windows Server 2022
52
3
Android
51
4
Windows 10
50
5
Windows Server 2019
50
6
Windows Server 2016
49
7
Windows Server 2012
45
8
Windows Server 2012 R2
45
9
Linux Kernel
25
10
Apple iOS
23
11
Apple macOS
23
12
Windows Server 2008
20
13
Windows Server 2008 R2
20
1.2.3 漏洞类型分布
2023年3月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为14.21%。
表32023年3月漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
360
14.21%
2
缓冲区错误
298
11.76%
3
SQL注入
194
7.66%
4
代码问题
151
5.96%
5
输入验证错误
91
3.59%
6
资源管理错误
88
3.47%
7
跨站请求伪造
77
3.04%
8
命令注入
51
2.01%
9
路径遍历
51
2.01%
10
操作系统命令注入
40
1.58%
11
信息泄露
31
1.22%
12
访问控制错误
29
1.14%
13
授权问题
27
1.07%
14
代码注入
23
0.91%
15
信任管理问题
10
0.39%
16
数据伪造问题
9
0.36%
17
日志信息泄露
7
0.28%
18
后置链接
7
0.28%
19
注入
7
0.28%
20
竞争条件问题
6
0.24%
21
加密问题
4
0.16%
22
安全特征问题
4
0.16%
23
格式化字符串错误
2
0.08%
24
数字错误
2
0.08%
25
环境问题
2
0.08%
26
参数注入
1
0.04%
27
其他
961
37.94%
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2023年3月漏洞危害等级分布如图2所示,其中超危漏洞367条,占本月漏洞总数的14.49%。
图22023年3月漏洞危害等级分布
1.3漏洞修复情况1.3.1 整体修复情况
2023年3月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到94.83%,超危漏洞修复率最低,比例为61.04%。
总体来看,本月整体修复率由上月的83.79%下降至本月的82.27%。
图32023年3月漏洞修复数量统计
1.3.2 厂商修复情况
2023年3月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Google、Adobe等十个厂商共890条漏洞,占本月漏洞总数的35.14%,漏洞修复率为96.63%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Adobe、Microsoft、Apple、Aruba Networks、Cisco、IBM等公司本月漏洞修复率均为100%,共860条漏洞已全部修复。
表42023年3月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量
修复率
1
WordPress基金会
253
227
89.72%
2
217
217
100.00%
3
Adobe
106
106
100.00%
4
Microsoft
77
77
100.00%
5
Apple
59
59
100.00%
6
Linux基金会
43
40
93.02%
7
Aruba Networks
41
41
100.00%
8
Git
33
32
96.97%
9
Cisco
31
31
100.00%
10
IBM
30
30
100.00%
1.4 重要漏洞实例1.4.1 超危漏洞实例
2023年3月超危漏洞共367个,其中重要漏洞实例如表5所示。
表52023年3月超危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
ATM Consulting
CNNVD-202303-1492
IBM Security Guardium
SQL注入漏洞
(CNNVD-202303-1627)
Akinsoft
CNNVD-202303-678
Alpata
CNNVD-202303-732
AsKoc
CNNVD-202303-1848
CleverStupidDog
CNNVD-202303-164
DataGear
CNNVD-202303-1694
FunAdmin
CNNVD-202303-455
CNNVD-202303-476
CNNVD-202303-609
CNNVD-202303-625
CNNVD-202303-642
CNNVD-202303-650
CNNVD-202303-747
Gentoo
CNNVD-202303-1498
Glox Technology
CNNVD-202303-163
IBM
CNNVD-202303-1627
Ivanti
CNNVD-202303-2612
CNNVD-202303-2614
CNNVD-202303-2616
CNNVD-202303-2617
MedData
CNNVD-202303-362
PHPGurukul
CNNVD-202303-2267
Pacsrapor
CNNVD-202303-1616
PrestaShop
CNNVD-202303-081
CNNVD-202303-926
CNNVD-202303-1582
CNNVD-202303-1626
CNNVD-202303-1666
CNNVD-202303-1667
CNNVD-202303-1935
CNNVD-202303-2092
CNNVD-202303-2206
Saysis
CNNVD-202303-783
Simple Art Gallery
CNNVD-202303-1248
CNNVD-202303-1480
Ulkem
CNNVD-202303-616
Utarit Information Technologies
CNNVD-202303-1395
Uzay Baskul
CNNVD-202303-063
Variscite
CNNVD-202303-624
WordPress基金会
CNNVD-202303-291
CNNVD-202303-912
CNNVD-202303-1522
CNNVD-202303-1782
drupalprojects
CNNVD-202303-394
jeecg
CNNVD-202303-1399
shiziyu
CNNVD-202303-191
个人开发者
CNNVD-202303-117
CNNVD-202303-162
CNNVD-202303-196
CNNVD-202303-230
CNNVD-202303-231
CNNVD-202303-278
CNNVD-202303-297
CNNVD-202303-429
CNNVD-202303-459
CNNVD-202303-683
CNNVD-202303-686
CNNVD-202303-687
CNNVD-202303-688
CNNVD-202303-690
CNNVD-202303-694
CNNVD-202303-695
CNNVD-202303-700
CNNVD-202303-702
CNNVD-202303-704
CNNVD-202303-707
CNNVD-202303-711
CNNVD-202303-712
CNNVD-202303-713
CNNVD-202303-716
CNNVD-202303-725
CNNVD-202303-726
CNNVD-202303-729
CNNVD-202303-730
CNNVD-202303-845
CNNVD-202303-847
CNNVD-202303-859
CNNVD-202303-860
CNNVD-202303-864
CNNVD-202303-919
CNNVD-202303-942
CNNVD-202303-989
CNNVD-202303-991
CNNVD-202303-1250
CNNVD-202303-1255
CNNVD-202303-1344
CNNVD-202303-1365
CNNVD-202303-1390
CNNVD-202303-1392
CNNVD-202303-1394
CNNVD-202303-1410
CNNVD-202303-1411
CNNVD-202303-1416
CNNVD-202303-1419
CNNVD-202303-1428
CNNVD-202303-1435
CNNVD-202303-1448
CNNVD-202303-1459
CNNVD-202303-1460
CNNVD-202303-1473
CNNVD-202303-1482
CNNVD-202303-1483
CNNVD-202303-1494
CNNVD-202303-1495
CNNVD-202303-1497
CNNVD-202303-1546
CNNVD-202303-1668
CNNVD-202303-1671
CNNVD-202303-1678
CNNVD-202303-1736
CNNVD-202303-1841
CNNVD-202303-1842
CNNVD-202303-1844
CNNVD-202303-1845
CNNVD-202303-1853
CNNVD-202303-1855
CNNVD-202303-1908
CNNVD-202303-1912
CNNVD-202303-1932
CNNVD-202303-2109
CNNVD-202303-2140
CNNVD-202303-2174
中远麒麟科技
CNNVD-202303-1297
梦想cms
CNNVD-202303-739
CNNVD-202303-741
西安众邦网络
CNNVD-202303-1926
代码问题
Adobe
CNNVD-202303-1224
Trend Micro Apex One
代码问题漏洞
(CNNVD-202303-779)
Apache基金会
CNNVD-202303-617
General Bytes
CNNVD-202303-1619
HPE
CNNVD-202303-047
CNNVD-202303-051
Independentsoft
CNNVD-202303-1951
CNNVD-202303-1958
CNNVD-202303-2090
Ivanti
CNNVD-202303-2609
CNNVD-202303-2611
CNNVD-202303-2613
CNNVD-202303-2615
KNP Labs
CNNVD-202303-1442
Trend Micro
CNNVD-202303-779
WellinTech
CNNVD-202303-1521
WordPress基金会
CNNVD-202303-355
CNNVD-202303-1750
Wyomind
CNNVD-202303-646
baserCMS
CNNVD-202303-1922
CNNVD-202303-1925
xzjie
CNNVD-202303-1451
个人开发者
CNNVD-202303-235
CNNVD-202303-246
CNNVD-202303-379
CNNVD-202303-708
CNNVD-202303-992
CNNVD-202303-995
CNNVD-202303-1210
CNNVD-202303-1450
CNNVD-202303-1477
CNNVD-202303-1599
CNNVD-202303-1664
CNNVD-202303-1673
CNNVD-202303-2138
台达电子
CNNVD-202303-2225
恒基科技
CNNVD-202303-2163
授权问题
AVEVA
CNNVD-202303-1240
NETGEAR RAX30
授权问题漏洞
(CNNVD-202303-1097)
Akuvox
CNNVD-202303-826
Array Networks
CNNVD-202303-1290
MEGAFEIS
CNNVD-202303-1585
NETGEAR
CNNVD-202303-1097
Red Hat
CNNVD-202303-1454
个人开发者
CNNVD-202303-627
CNNVD-202303-940
CNNVD-202303-1393
CNNVD-202303-1415
操作系统命令注入
Altenergy Power System
CNNVD-202303-1096
CoreDial sipXcom sipXopenfire
操作系统命令注入漏洞
(CNNVD-202303-641)
CoreDial
CNNVD-202303-641
个人开发者
CNNVD-202303-843
CNNVD-202303-2173
友讯
CNNVD-202303-909
CNNVD-202303-917
CNNVD-202303-1303
吉翁电子
CNNVD-202303-619
缓冲区错误
Aruba Networks
CNNVD-202303-035
Aruba Networks ArubaOS
缓冲区错误漏洞
(CNNVD-202303-035)
CNNVD-202303-039
Cisco
CNNVD-202303-214
CNNVD-202303-494
CNNVD-202303-503
CNNVD-202303-1603
CNNVD-202303-1978
CNNVD-202303-2067
CNNVD-202303-2070
CNNVD-202303-2072
HPE
CNNVD-202303-050
SAMSUNG
CNNVD-202303-876
CNNVD-202303-881
CNNVD-202303-908
CNNVD-202303-1612
CNNVD-202303-1835
CNNVD-202303-1839
个人开发者
CNNVD-202303-630
CNNVD-202303-1441
CNNVD-202303-1937
腾达
CNNVD-202303-1214
CNNVD-202303-1472
CNNVD-202303-1474
访问控制错误
Adobe
CNNVD-202303-1239
Omron PLC CJ series
访问控制错误漏洞
(CNNVD-202303-1235)
Akuvox
CNNVD-202303-829
Coder
CNNVD-202303-1850
IBM
CNNVD-202303-234
Omron
CNNVD-202303-1235
ZBT
CNNVD-202303-204
个人开发者
CNNVD-202303-202
CNNVD-202303-1379
CNNVD-202303-1665
台达电子
CNNVD-202303-2189
资源管理错误
CNNVD-202303-424
SAMSUNG Mobile devices
资源管理错误漏洞
(CNNVD-202303-1366)
PMB Services
CNNVD-202303-390
SAMSUNG
CNNVD-202303-1366
个人开发者
CNNVD-202303-166
CNNVD-202303-167
CNNVD-202303-168
CNNVD-202303-169
CNNVD-202303-172
输入验证错误
Flatpak
CNNVD-202303-1347
Flatpak
输入验证错误漏洞
(CNNVD-202303-1347)
CNNVD-202303-419
CNNVD-202303-437
CNNVD-202303-2073
个人开发者
CNNVD-202303-065
1、IBM Security Guardium SQL注入漏洞(CNNVD-202303-1627)
IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。
IBM Security Guardium Key Lifecycle Manager存在SQL注入漏洞,该漏洞源于存在SQL注入漏洞,远程攻击者利用该漏洞可以查看、添加、修改或删除后端数据库中的信息。以下产品和版本受到影响:IBM Security Guardium Key Lifecycle Manager 3.0、3.0.1、4.0、4.1和4.1.1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6962729
2、Trend Micro Apex One 代码问题漏洞(CNNVD-202303-779)
Trend Micro Apex One是美国趋势科技(Trend Micro)公司的一款终端防护软件。
Trend Micro Apex One Server存在安全漏洞,该漏洞源于安装程序中存在不受控制的搜索路径元素漏洞,攻击者利用该漏洞可以在受影响的产品上实现远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://success.trendmicro.com/solution/000292209
3、NETGEAR RAX30 授权问题漏洞(CNNVD-202303-1097)
NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。
NETGEAR RAX30 (AX2400) 1.0.6.74 之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者通过重置管理员密码获得对设备 Web 管理界面的管理访问权限。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.netgear.com/home/wifi/routers/rax30/
4、CoreDial sipXcom sipXopenfire 操作系统命令注入漏洞(CNNVD-202303-641)
CoreDial sipXcom sipXopenfire是美国CoreDial公司的一个电信应用程序。
CoreDial sipXcom sipXopenfire 21.04及之前版本存在操作系统命令注入漏洞,该漏洞源于存在操作系统命令参数注入,攻击者利用该漏洞可以以系统root用户身份执行命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://download.sipxcom.org/
5、Aruba Networks ArubaOS 缓冲区错误漏洞(CNNVD-202303-035)
Aruba Networks ArubaOS是美国安移通(Aruba Networks)公司的一套面向Aruba Mobility-Defined Networks(包括移动控制器和移动接入交换机)的操作系统。
Aruba Networks ArubaOS 存在安全漏洞,该漏洞源于基于堆的缓冲区溢出漏洞,通过将特制数据包发送到 PAPI(Aruba Networks access point management protocol)的 UDP 端口 (8211),可能导致未经身份验证的远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
6、Omron PLC CJ series 访问控制错误漏洞(CNNVD-202303-1235)
Omron PLC CJ series是日本欧姆龙(Omron)公司的一款CJ系列可编程逻辑控制器(PLC)。
Omron CJ1M PLC v4.0 及之前版本存在访问控制错误漏洞,该漏洞源于存储 UM 密码的内存区域具有不正确的访问控制。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ia.omron.com/product/vulnerability/OMSR-2023-001_en.pdf
7、SAMSUNG Mobile devices 资源管理错误漏洞(CNNVD-202303-1366)
SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。
SAMSUNG Mobile Devices decon driver SMR Mar-2023 Release 1 版本存在安全漏洞,该漏洞源于存在释放后重用问题。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=03
8、Flatpak 输入验证错误漏洞(CNNVD-202303-1347)
Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统。
Flatpak 1.10.8之前版本、1.12.x版本至1.12.8版本、1.14.x版本至1.14.4版本、1.15.x版本至1.15.4版本存在输入验证错误漏洞。攻击者利用该漏洞从虚拟控制台复制文本并将其粘贴到命令缓冲区中,在Flatpak应用程序退出后可能会从中运行命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/flatpak/flatpak/commit/8e63de9a7d3124f91140fc74f8ca9ed73ed53be9
1.4.2 高危漏洞实例
2023年3月高危漏洞共861个,其中重要漏洞实例如表6所示。
表62023年3月高危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
ByWater Solutions
CNNVD-202303-333
PrestaShop
SQL注入漏洞
(CNNVD-202303-369)
Centreon
CNNVD-202303-2551
CNNVD-202303-2552
CNNVD-202303-2554
CNNVD-202303-2555
CNNVD-202303-2556
CNNVD-202303-2560
Devolutions
CNNVD-202303-043
Faveo
CNNVD-202303-1959
IBM
CNNVD-202303-1578
Ivanti
CNNVD-202303-2608
Moodle
CNNVD-202303-1621
Pimcore
CNNVD-202303-1341
CNNVD-202303-1680
CNNVD-202303-1810
PrestaShop
CNNVD-202303-369
CNNVD-202303-1000
Siemens
CNNVD-202303-994
WordPress基金会
CNNVD-202303-896
CNNVD-202303-1233
CNNVD-202303-1504
CNNVD-202303-1506
CNNVD-202303-1507
CNNVD-202303-1776
CNNVD-202303-1788
CNNVD-202303-1789
CNNVD-202303-1797
CNNVD-202303-2217
个人开发者
CNNVD-202303-359
CNNVD-202303-406
CNNVD-202303-638
CNNVD-202303-865
CNNVD-202303-868
CNNVD-202303-869
CNNVD-202303-1212
CNNVD-202303-1236
CNNVD-202303-1238
CNNVD-202303-1242
CNNVD-202303-1243
CNNVD-202303-1244
CNNVD-202303-1409
CNNVD-202303-1475
CNNVD-202303-1570
CNNVD-202303-1851
CNNVD-202303-1918
CNNVD-202303-1928
CNNVD-202303-1936
CNNVD-202303-2451
卓卓网络
CNNVD-202303-1327
CNNVD-202303-1328
恒基科技
CNNVD-202303-2168
西安众邦网络
CNNVD-202303-200
CNNVD-202303-486
齐博软件
CNNVD-202303-1332
代码问题
Adobe
CNNVD-202303-1186
Apache InLong
代码问题漏洞
(CNNVD-202303-2185)
Apache基金会
CNNVD-202303-736
CNNVD-202303-2185
CNNVD-202303-2427
Appneta
CNNVD-202303-1320
CNNVD-202303-1321
CNNVD-202303-1322
CNNVD-202303-1323
Cisco
CNNVD-202303-044
Dassault Systèmes
CNNVD-202303-692
Discourse
CNNVD-202303-1424
CNNVD-202303-1440
Flexense
CNNVD-202303-851
CNNVD-202303-530
CNNVD-202303-2112
CNNVD-202303-2114
CNNVD-202303-2115
CNNVD-202303-2118
CNNVD-202303-2123
CNNVD-202303-2125
CNNVD-202303-2127
IBM
CNNVD-202303-1637
Infoline
CNNVD-202303-2678
Jellyfin
CNNVD-202303-740
Jenkins
CNNVD-202303-1647
Kozea
CNNVD-202303-1534
Linux基金会
CNNVD-202303-1291
NETGEAR
CNNVD-202303-1285
OPC Labs
CNNVD-202303-2618
SAP
CNNVD-202303-960
CNNVD-202303-967
CNNVD-202303-969
SRA OSS
CNNVD-202303-427
Schneider Electric
CNNVD-202303-1553
ShopeX
CNNVD-202303-396
CNNVD-202303-398
Simple Art Gallery
CNNVD-202303-1249
Sitecore
CNNVD-202303-1098
UpThemes
CNNVD-202303-469
UwAmp
CNNVD-202303-1339
Veritas Technologies
CNNVD-202303-1831
WordPress基金会
CNNVD-202303-356
CNNVD-202303-442
CNNVD-202303-900
XWiki
CNNVD-202303-505
iFAX
CNNVD-202303-767
rami.io
CNNVD-202303-402
vantage6
CNNVD-202303-282
个人开发者
CNNVD-202303-225
CNNVD-202303-239
CNNVD-202303-607
CNNVD-202303-654
CNNVD-202303-731
CNNVD-202303-1375
CNNVD-202303-1567
CNNVD-202303-1674
CNNVD-202303-1921
CNNVD-202303-2203
信呼
CNNVD-202303-1481
台达电子
CNNVD-202303-2181
CNNVD-202303-2193
极致网络科技
CNNVD-202303-1215
梅州市青云客网络科技
CNNVD-202303-1407
贵州觅信科技
CNNVD-202303-832
授权问题
ABB
CNNVD-202303-154
ABB Symphony Plus S+ Operations
授权问题漏洞
(CNNVD-202303-154)
Akuvox
CNNVD-202303-814
Cisco
CNNVD-202303-215
CNNVD-202303-415
Ivanti
CNNVD-202303-771
Next.js
CNNVD-202303-696
SAP
CNNVD-202303-1022
个人开发者
CNNVD-202303-983
CNNVD-202303-1429
友讯
CNNVD-202303-2540
麒麟软件
CNNVD-202303-206
操作系统命令注入
Barracuda Networks
CNNVD-202303-233
NETGEAR RBR750
操作系统命令注入漏洞
(CNNVD-202303-1595)
CoreDial
CNNVD-202303-640
Fortinet
CNNVD-202303-496
GNU
CNNVD-202303-681
CNNVD-202303-1468
NETGEAR
CNNVD-202303-1595
SAP
CNNVD-202303-973
pyMedusa
CNNVD-202303-2260
个人开发者
CNNVD-202303-279
友讯
CNNVD-202303-2508
CNNVD-202303-2510
CNNVD-202303-2511
CNNVD-202303-2513
CNNVD-202303-2514
CNNVD-202303-2516
CNNVD-202303-2557
恒基科技
CNNVD-202303-2169
CNNVD-202303-2183
麒麟
CNNVD-202303-637
缓冲区错误
Adobe
CNNVD-202303-1127
GNU LibreDWG
缓冲区错误漏洞
(CNNVD-202303-071)
CNNVD-202303-1129
CNNVD-202303-1136
CNNVD-202303-1137
CNNVD-202303-1138
CNNVD-202303-1139
CNNVD-202303-1140
CNNVD-202303-1142
CNNVD-202303-1144
CNNVD-202303-1145
CNNVD-202303-1148
CNNVD-202303-1151
CNNVD-202303-1152
CNNVD-202303-1153
CNNVD-202303-1154
CNNVD-202303-1155
CNNVD-202303-1157
CNNVD-202303-1158
CNNVD-202303-1159
CNNVD-202303-1160
CNNVD-202303-1161
CNNVD-202303-1162
CNNVD-202303-1163
CNNVD-202303-1164
CNNVD-202303-1167
CNNVD-202303-1168
CNNVD-202303-1187
CNNVD-202303-1189
CNNVD-202303-1192
CNNVD-202303-1195
CNNVD-202303-1272
Cisco
CNNVD-202303-216
CNNVD-202303-666
Corel
CNNVD-202303-2538
CNNVD-202303-2539
CNNVD-202303-2541
CNNVD-202303-2543
GFI
CNNVD-202303-1276
GNU
CNNVD-202303-071
CNNVD-202303-422
CNNVD-202303-430
CNNVD-202303-487
CNNVD-202303-488
CNNVD-202303-513
CNNVD-202303-526
CNNVD-202303-532
CNNVD-202303-535
CNNVD-202303-545
CNNVD-202303-1601
CNNVD-202303-1980
CNNVD-202303-1981
CNNVD-202303-1982
CNNVD-202303-1994
CNNVD-202303-2006
CNNVD-202303-2010
CNNVD-202303-2048
CNNVD-202303-2065
CNNVD-202303-2074
CNNVD-202303-2117
CNNVD-202303-2128
CNNVD-202303-2129
IOBit
CNNVD-202303-2160
JTEKT
CNNVD-202303-320
CNNVD-202303-328
Live2D
CNNVD-202303-240
MikroTik
CNNVD-202303-2195
OpenImageIO
CNNVD-202303-2683
Qualcomm
CNNVD-202303-819
Rizin
CNNVD-202303-1094
CNNVD-202303-2086
Rockwell Automation
CNNVD-202303-1644
Siemens
CNNVD-202303-979
CNNVD-202303-981
CNNVD-202303-984
CNNVD-202303-1002
CNNVD-202303-1009
CNNVD-202303-1012
CNNVD-202303-1080
CNNVD-202303-1088
CNNVD-202303-1089
SoftMaker
CNNVD-202303-1933
SonicWALL
CNNVD-202303-193
Tracker Software
CNNVD-202303-2578
CNNVD-202303-2580
CNNVD-202303-2582
CNNVD-202303-2584
CNNVD-202303-2586
CNNVD-202303-2587
CNNVD-202303-2588
CNNVD-202303-2589
CNNVD-202303-2594
CNNVD-202303-2595
CNNVD-202303-2596
CNNVD-202303-2598
CNNVD-202303-2599
CNNVD-202303-2601
CNNVD-202303-2619
UPX
CNNVD-202303-2075
CNNVD-202303-2076
CNNVD-202303-2077
CNNVD-202303-2079
CNNVD-202303-2080
CNNVD-202303-2083
CNNVD-202303-2085
WebAssembly
CNNVD-202303-721
XWiki
CNNVD-202303-187
Zoom
CNNVD-202303-1356
CNNVD-202303-1359
个人开发者
CNNVD-202303-075
CNNVD-202303-221
CNNVD-202303-1227
CNNVD-202303-1230
CNNVD-202303-1955
CNNVD-202303-2254
北京奇虎科技有限公司
CNNVD-202303-1865
友讯
CNNVD-202303-891
CNNVD-202303-1304
江民
CNNVD-202303-2130
福昕
CNNVD-202303-2563
CNNVD-202303-2570
腾达
CNNVD-202303-2087
访问控制错误
Apache基金会
CNNVD-202303-2420
Schneider Electric IGSS Data Server
访问控制错误漏洞
(CNNVD-202303-1556)
Lespeed Technology
CNNVD-202303-1461
CNNVD-202303-1467
Schneider Electric
CNNVD-202303-1556
Veeam
CNNVD-202303-765
Watchdog
CNNVD-202303-1400
XWiki
CNNVD-202303-181
恒基科技
CNNVD-202303-2175
资源管理错误
ARM
CNNVD-202303-357
ZOHO ManageEngine ServiceDesk Plus
资源管理错误漏洞
(CNNVD-202303-374)
CNNVD-202303-639
Adobe
CNNVD-202303-1131
CNNVD-202303-1146
CNNVD-202303-1147
CNNVD-202303-1150
CNNVD-202303-1165
CNNVD-202303-1166
CNNVD-202303-1193
CNNVD-202303-1216
Cambridge
CNNVD-202303-1572
Fortinet
CNNVD-202303-489
CNNVD-202303-474
CNNVD-202303-537
CNNVD-202303-539
CNNVD-202303-540
CNNVD-202303-544
CNNVD-202303-1600
CNNVD-202303-1602
CNNVD-202303-1604
CNNVD-202303-1605
CNNVD-202303-1608
CNNVD-202303-2004
CNNVD-202303-2111
JTEKT
CNNVD-202303-329
Linux基金会
CNNVD-202303-175
CNNVD-202303-659
CNNVD-202303-1744
CNNVD-202303-1915
CNNVD-202303-2640
Qualcomm
CNNVD-202303-824
Tesla
CNNVD-202303-2553
Tracker Software
CNNVD-202303-2577
CNNVD-202303-2593
ZOHO
CNNVD-202303-374
个人开发者
CNNVD-202303-699
CNNVD-202303-1396
CNNVD-202303-1402
CNNVD-202303-1907
CNNVD-202303-2207
开放原子开源基金会
CNNVD-202303-734
福昕
CNNVD-202303-2509
CNNVD-202303-2517
CNNVD-202303-2518
CNNVD-202303-2519
CNNVD-202303-2559
CNNVD-202303-2561
CNNVD-202303-2562
CNNVD-202303-2565
CNNVD-202303-2566
CNNVD-202303-2567
CNNVD-202303-2573
输入验证错误
Adobe
CNNVD-202303-1128
IBM Financial Transaction Manager
输入验证错误漏洞
(CNNVD-202303-834)
CNNVD-202303-1132
CNNVD-202303-1133
CNNVD-202303-1149
CNNVD-202303-1156
CNNVD-202303-1190
CNNVD-202303-1202
Canon
CNNVD-202303-2548
Cisco
CNNVD-202303-1891
CNNVD-202303-412
CNNVD-202303-425
CNNVD-202303-519
CNNVD-202303-2056
CNNVD-202303-2121
CNNVD-202303-2126
IBM
CNNVD-202303-005
CNNVD-202303-834
CNNVD-202303-1676
OpenSIPS
CNNVD-202303-1262
CNNVD-202303-1274
CNNVD-202303-1278
CNNVD-202303-1282
CNNVD-202303-1283
CNNVD-202303-1284
CNNVD-202303-1286
CNNVD-202303-1287
Qualcomm
CNNVD-202303-808
Schneider Electric
CNNVD-202303-1568
1、PrestaShop SQL注入漏洞(CNNVD-202303-369)
PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。
PrestaShop Xen Forum 2.13.0之前版本存在安全漏洞。攻击者利用该漏洞执行SQL注入攻击。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://addons.prestashop.com/en/blog-forum-new/19299-xen-forum.html
2、Apache InLong 代码问题漏洞(CNNVD-202303-2185)
Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。
Apache Software Foundation Apache InLong 1.1.0版本至1.5.0版本存在代码问题漏洞,该漏洞源于不可信数据反序列化。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/xbvtjw9bwzgbo9fp1by8o3p49nf59xzt
3、ABB Symphony Plus S+ Operations 授权问题漏洞(CNNVD-202303-154)
ABB Symphony Plus S+ Operations是ABB公司的一个分散控制系统。
ABB Symphony Plus S+ Operations存在授权问题漏洞,该漏洞源于存在不正确身份验证,以下产品和版本受到影响:Symphony Plus S+ Operations 2.1 SP2 之前版本、 2.2版本、 3.3 SP1之前版本、 3.3 SP2版本.。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://search.abb.com/library/Download.aspx?DocumentID=7PAA006722&LanguageCode=en&DocumentPartId=&Action=Launch
4、NETGEAR RBR750 操作系统命令注入漏洞(CNNVD-202303-1595)
NETGEAR RBR750是美国网件(NETGEAR)公司的一套家庭WiFi系统。
NETGEAR RBR750 4.6.8.5版本存在操作系统命令注入漏洞,该漏洞源于在访问控制功能中存在命令执行漏洞。攻击者可利用该漏洞构造HTTP请求来触发任意命令执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.netgear.com/support/product/RBR750
5、GNU LibreDWG 缓冲区错误漏洞(CNNVD-202303-071)
GNU LibreDWG是美国GNU社区的一个用于处理DWG文件的C语言库。
GNU LibreDWG v0.12.5版本存在安全漏洞,该漏洞源于bits.c 中的 bit_read_RC 函数存在基于堆的缓冲区溢出。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://github.com/LibreDWG/libredwg
6、Schneider Electric IGSS Data Server 访问控制错误漏洞(CNNVD-202303-1556)
Schneider Electric IGSS Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形 Scada 系统的数据服务器。
Schneider Electric IGSS Data Server(IGSSdataServer.exe) V16.0.0.23040版本及之前版本、IGSS Dashboard(DashBoard.exe) V16.0.0.23040版本及之前版本、Custom Reports(RMS16.dll) V16.0.0.23040版本及之前版本存在访问控制错误漏洞,该漏洞源于缺少关键功能身份的验证。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://igss.schneider-electric.com/
7、ZOHO ManageEngine ServiceDesk Plus 资源管理错误漏洞(CNNVD-202303-374)
ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。
ZOHO ManageEngine ServiceDesk Plus 14104版本及之前版本、Asset Explorer 6987版本及之前版本、ServiceDesk Plus MSP 14000之前版本、Support Center Plus 14000之前版本存在安全漏洞.攻击者利用该漏洞导致系统拒绝服务。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.manageengine.com/products/service-desk/CVE-2023-26601.html
8、IBM Financial Transaction Manager 输入验证错误漏洞(CNNVD-202303-834)
IBM Financial Transaction Manager是美国国际商业机器(IBM)公司的一款金融事务管理器。该产品主要用于监控、跟踪和报告金融支付和交易。
IBM Financial Transaction Manager 3.2.0 到 3.2.10版本存在安全漏洞,该漏洞源于该系统验证不当,攻击者利用该漏洞可以执行未经授权的操作。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6958504
二、漏洞平台推送情况
2023年3月漏洞平台推送漏洞76054个。
表72023年3月漏洞平台推送情况表
序号
漏洞平台
漏洞总量
1
补天平台
17611
2
漏洞盒子
53950
3
360漏洞云
4493
推送总计
76054
三、接报漏洞情况
2023年3月接报漏洞1898个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)1205个。
序号
报送单位
漏洞数量
1
北京山石网科信息技术有限公司
547
2
北京众安天下科技有限公司
175
3
北京华云安信息技术有限公司
105
4
个人
97
5
安徽华云安科技有限公司
59
6
中瑞创信息技术(北京)有限公司
54
7
星云博创科技有限公司
40
8
广州锦行网络科技有限公司
40
9
中孚安全技术有限公司
34
10
内蒙古思沃科技有限公司
31
11
北京门石信息技术有限公司
29
12
杭州海康威视数字技术股份有限公司
28
13
北京中睿天下信息技术有限公司
27
14
上海斗象信息科技有限公司
25
15
杭州安恒信息技术股份有限公司
25
16
北京启明星辰信息安全技术有限公司
25
17
杭州美创科技股份有限公司
24
18
重庆都会信息科技有限公司
22
19
博智安全科技股份有限公司
22
20
北京江南天安科技有限公司
22
21
深圳市腾讯计算机系统有限公司
19
22
北京网御星云信息技术有限公司
19
23
北京安胜华信科技有限公司
17
24
上海上讯信息技术股份有限公司
16
25
北京信联数安科技有限公司
14
26
北京边界无限科技有限公司
14
27
中电信数智科技有限公司
13
28
长扬科技(北京)股份有限公司
13
29
北京五一嘉峪科技有限公司
13
30
快页信息技术有限公司
12
31
国网湖北省电力有限公司电力科学研究院
11
32
北京永信至诚科技股份有限公司
11
33
北京赛博昆仑科技有限公司
10
34
天津市兴先道科技有限公司
9
35
锐捷网络股份有限公司
9
36
北京神州绿盟科技有限公司
9
37
沈阳东软系统集成工程有限公司
8
38
山东云天安全技术有限公司
8
39
任子行网络技术股份有限公司
8
40
广州竞远安全技术股份有限公司
8
41
烽台科技(北京)有限公司
8
42
中国电信股份有限公司网络安全产品运营中心
7
43
内蒙古云科数据服务股份有限公司
7
44
贵州泰若数字科技有限公司
7
45
贵州数创控股(集团)有限公司
7
46
北京长亭科技有限公司
7
47
安徽三实软件科技有限公司
7
48
西安四叶草信息技术有限公司
6
49
上海谋乐网络科技有限公司
6
50
上海安识网络科技有限公司
6
51
江苏金盾检测技术股份有限公司
6
52
北京容辉智信科技有限公司
6
53
北京安天网络安全技术有限公司
6
54
重庆梦之想科技有限责任公司
5
55
天翼数智科技(北京)有限公司
5
56
深圳市魔方安全科技有限公司
5
57
赛尔网络有限公司
5
58
湖南浩基信息技术有限公司
5
59
杭州中电安科现代科技有限公司
5
60
北京威努特技术有限公司
5
61
新华三技术有限公司
4
62
杭州默安科技有限公司
4
63
北京中测安华科技有限公司
4
64
北京智游网安科技有限公司
4
65
北京圣博润高新技术股份有限公司
4
66
北京奇虎科技有限公司
4
67
智网安云(武汉)信息技术有限公司
3
68
郑州云智信安安全技术有限公司
3
69
证通股份有限公司
3
70
浙江宇视科技有限公司
3
71
卫士通(广州)信息安全技术有限公司
3
72
厦门捷诺通信息技术股份有限公司
3
73
厦门安胜网络科技有限公司
3
74
南京赛宁信息技术有限公司
3
75
江苏通付盾科技有限公司
3
76
河南听潮盛世信息技术有限公司
3
77
广州非凡信息安全技术有限公司
3
78
北京华胜久安科技有限公司
3
79
北京安盟信息技术股份有限公司
3
80
中兴通讯股份有限公司
2
81
郑州埃文计算机科技有限公司
2
82
长春嘉诚信息技术股份有限公司
2
83
山东鼎夏智能科技有限公司
2
84
三六零数字安全科技集团有限公司
2
85
湖南匡安网络技术有限公司
2
86
黑龙江安信与诚科技开发有限公司
2
87
广州天畅信息技术有限公司
2
88
北京源堡科技有限公司
2
89
北京微步在线科技有限公司
2
90
北京华顺信安信息技术有限公司
2
91
北京安帝科技有限公司
2
92
安全邦(北京)信息技术有限公司
2
93
浙江大学307Lab
1
94
上海腾蒙信息科技有限公司
1
95
南京众智维信息科技有限公司
1
96
南方电网数字电网集团信息通信科技有限公司
1
97
浪潮云信息技术股份公司
1
98
恒安嘉新(北京)科技股份公司
1
99
河南天祺信息安全技术有限公司
1
100
广西百色英晖科技有限公司
1
101
广东为辰信息科技有限公司
1
102
工业和信息化部电子第五研究所
1
103
北京云科安信科技有限公司
1
104
北京网藤科技有限公司
1
105
北京时代新威信息技术有限公司
1
106
北京六方云信息技术有限公司
1
107
北京聚信得仁科技有限公司
1
108
北京京东尚科信息技术有限公司
1
报送合计
1898
表82023年3月接报漏洞情况表
四、重大漏洞通报Apache OpenOffice参数注入漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952/CVE-2022-47502)情况的报送。成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已经发布了漏洞修复补丁,建议用户及时确认产品版本,尽快采取修补措施。
. 漏洞介绍
Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于Apache OpenOffice 文档内可通过含有任意参数的链接调用内部宏,恶意攻击者通过修改特殊URI Scheme构造恶意链接调用宏,当用户点击链接或通过自动文档事件激活时,会导致覆盖掉文档中现有宏的代码,从而执行任意代码。
. 危害影响
成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。
. 修复建议
目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方下载链接:
https://www.openoffice.org/download/
页:
[1]