请选择 进入手机版 | 继续访问电脑版
查看: 15033|回复: 0

信息安全漏洞月报2023年3月

[复制链接]
匿名
匿名  发表于 2023-4-10 23:26:43 |阅读模式
漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2023年3月份采集安全漏洞共2533个。

本月接报漏洞77952个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)77259个,其中漏洞平台推送漏洞76054个。

重大漏洞通报

Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502):成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

    漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2023年3月份新增安全漏洞共2533个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布253个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到14.21%。本月新增漏洞中,超危漏洞367个、高危漏洞861个、中危漏洞1247个、低危漏洞58个,相应修复率分别为61.04%、87.69%、84.20%以及94.83%。合计2084个漏洞已有修复补丁发布,本月整体修复率82.27%。

截至2023年3月31日,CNNVD采集漏洞总量已达206431个。
1.1 漏洞增长概况
2023年3月新增安全漏洞2533个,与上月(2104个)相比增加了20.39%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2167个。

qw1.jpg

                                            

图1  2022年10月至2023年3月漏洞新增数量统计图

1.2 漏洞分布情况1.2.1 漏洞厂商分布
2023年3月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到253个,占本月漏洞总量的9.99%。

表1  2023年3月排名前十厂商新增安全漏洞统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

253

9.99%

2

Google

217

8.57%

3

Adobe

106

4.18%

4

Microsoft

77

3.04%

5

Apple

59

2.33%

6

Linux基金会

43

1.70%

7

Aruba Networks

41

1.62%

8

Git

33

1.30%

9

Cisco

31

1.22%

10

IBM

30

1.18%

1.2.2 漏洞产品分布
2023年3月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共55个,Windows 11漏洞数量最多,共52个,占主流操作系统漏洞总量的10.30%,排名第一。

表2  2023年3月主流操作系统漏洞数量统计表

序号

操作系统名称

漏洞数量

1

Windows 11

52

2

Windows Server 2022

52

3

Android

51

4

Windows 10

50

5

Windows Server 2019

50

6

Windows Server 2016

49

7

Windows Server 2012

45

8

Windows Server 2012 R2

45

9

Linux Kernel

25

10

Apple iOS

23

11

Apple macOS

23

12

Windows Server 2008

20

13

Windows Server 2008 R2

20
1.2.3 漏洞类型分布
2023年3月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为14.21%。

表3  2023年3月漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

360

14.21%

2

缓冲区错误

298

11.76%

3

SQL注入

194

7.66%

4

代码问题

151

5.96%

5

输入验证错误

91

3.59%

6

资源管理错误

88

3.47%

7

跨站请求伪造

77

3.04%

8

命令注入

51

2.01%

9

路径遍历

51

2.01%

10

操作系统命令注入

40

1.58%

11

信息泄露

31

1.22%

12

访问控制错误

29

1.14%

13

授权问题

27

1.07%

14

代码注入

23

0.91%

15

信任管理问题

10

0.39%

16

数据伪造问题

9

0.36%

17

日志信息泄露

7

0.28%

18

后置链接

7

0.28%

19

注入

7

0.28%

20

竞争条件问题

6

0.24%

21

加密问题

4

0.16%

22

安全特征问题

4

0.16%

23

格式化字符串错误

2

0.08%

24

数字错误

2

0.08%

25

环境问题

2

0.08%

26

参数注入

1

0.04%

27

其他

961

37.94%
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2023年3月漏洞危害等级分布如图2所示,其中超危漏洞367条,占本月漏洞总数的14.49%。

qw2.jpg

图2  2023年3月漏洞危害等级分布

1.3漏洞修复情况1.3.1 整体修复情况
2023年3月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到94.83%,超危漏洞修复率最低,比例为61.04%。

总体来看,本月整体修复率由上月的83.79%下降至本月的82.27%。

qw3.jpg

图3  2023年3月漏洞修复数量统计
1.3.2 厂商修复情况
2023年3月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Google、Adobe等十个厂商共890条漏洞,占本月漏洞总数的35.14%,漏洞修复率为96.63%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Adobe、Microsoft、Apple、Aruba Networks、Cisco、IBM等公司本月漏洞修复率均为100%,共860条漏洞已全部修复。

表4  2023年3月厂商修复情况统计表

序号

厂商名称

漏洞数量(个)

修复数量

修复率

1

WordPress基金会

253

227

89.72%

2

Google

217

217

100.00%

3

Adobe

106

106

100.00%

4

Microsoft

77

77

100.00%

5

Apple

59

59

100.00%

6

Linux基金会

43

40

93.02%

7

Aruba Networks

41

41

100.00%

8

Git

33

32

96.97%

9

Cisco

31

31

100.00%

10

IBM

30

30

100.00%

1.4 重要漏洞实例1.4.1 超危漏洞实例
2023年3月超危漏洞共367个,其中重要漏洞实例如表5所示。

表5  2023年3月超危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

ATM   Consulting

CNNVD-202303-1492

IBM   Security Guardium
   SQL注入漏洞
   (CNNVD-202303-1627)

Akinsoft

CNNVD-202303-678

Alpata

CNNVD-202303-732

AsKoc

CNNVD-202303-1848

CleverStupidDog

CNNVD-202303-164

DataGear

CNNVD-202303-1694

FunAdmin

CNNVD-202303-455

CNNVD-202303-476

CNNVD-202303-609

CNNVD-202303-625

CNNVD-202303-642

CNNVD-202303-650

CNNVD-202303-747

Gentoo

CNNVD-202303-1498

Glox   Technology

CNNVD-202303-163

IBM

CNNVD-202303-1627

Ivanti

CNNVD-202303-2612

CNNVD-202303-2614

CNNVD-202303-2616

CNNVD-202303-2617

MedData

CNNVD-202303-362

PHPGurukul

CNNVD-202303-2267

Pacsrapor

CNNVD-202303-1616

PrestaShop

CNNVD-202303-081

CNNVD-202303-926

CNNVD-202303-1582

CNNVD-202303-1626

CNNVD-202303-1666

CNNVD-202303-1667

CNNVD-202303-1935

CNNVD-202303-2092

CNNVD-202303-2206

Saysis

CNNVD-202303-783

Simple   Art Gallery

CNNVD-202303-1248

CNNVD-202303-1480

Ulkem

CNNVD-202303-616

Utarit   Information Technologies

CNNVD-202303-1395

Uzay   Baskul

CNNVD-202303-063

Variscite

CNNVD-202303-624

WordPress基金会

CNNVD-202303-291

CNNVD-202303-912

CNNVD-202303-1522

CNNVD-202303-1782

drupalprojects

CNNVD-202303-394

jeecg

CNNVD-202303-1399

shiziyu

CNNVD-202303-191

个人开发者

CNNVD-202303-117

CNNVD-202303-162

CNNVD-202303-196

CNNVD-202303-230

CNNVD-202303-231

CNNVD-202303-278

CNNVD-202303-297

CNNVD-202303-429

CNNVD-202303-459

CNNVD-202303-683

CNNVD-202303-686

CNNVD-202303-687

CNNVD-202303-688

CNNVD-202303-690

CNNVD-202303-694

CNNVD-202303-695

CNNVD-202303-700

CNNVD-202303-702

CNNVD-202303-704

CNNVD-202303-707

CNNVD-202303-711

CNNVD-202303-712

CNNVD-202303-713

CNNVD-202303-716

CNNVD-202303-725

CNNVD-202303-726

CNNVD-202303-729

CNNVD-202303-730

CNNVD-202303-845

CNNVD-202303-847

CNNVD-202303-859

CNNVD-202303-860

CNNVD-202303-864

CNNVD-202303-919

CNNVD-202303-942

CNNVD-202303-989

CNNVD-202303-991

CNNVD-202303-1250

CNNVD-202303-1255

CNNVD-202303-1344

CNNVD-202303-1365

CNNVD-202303-1390

CNNVD-202303-1392

CNNVD-202303-1394

CNNVD-202303-1410

CNNVD-202303-1411

CNNVD-202303-1416

CNNVD-202303-1419

CNNVD-202303-1428

CNNVD-202303-1435

CNNVD-202303-1448

CNNVD-202303-1459

CNNVD-202303-1460

CNNVD-202303-1473

CNNVD-202303-1482

CNNVD-202303-1483

CNNVD-202303-1494

CNNVD-202303-1495

CNNVD-202303-1497

CNNVD-202303-1546

CNNVD-202303-1668

CNNVD-202303-1671

CNNVD-202303-1678

CNNVD-202303-1736

CNNVD-202303-1841

CNNVD-202303-1842

CNNVD-202303-1844

CNNVD-202303-1845

CNNVD-202303-1853

CNNVD-202303-1855

CNNVD-202303-1908

CNNVD-202303-1912

CNNVD-202303-1932

CNNVD-202303-2109

CNNVD-202303-2140

CNNVD-202303-2174

中远麒麟科技

CNNVD-202303-1297

梦想cms

CNNVD-202303-739

CNNVD-202303-741

西安众邦网络

CNNVD-202303-1926

代码问题

Adobe

CNNVD-202303-1224

Trend   Micro Apex One
   代码问题漏洞
   (CNNVD-202303-779)

Apache基金会

CNNVD-202303-617

General   Bytes

CNNVD-202303-1619

HPE

CNNVD-202303-047

CNNVD-202303-051

Independentsoft

CNNVD-202303-1951

CNNVD-202303-1958

CNNVD-202303-2090

Ivanti

CNNVD-202303-2609

CNNVD-202303-2611

CNNVD-202303-2613

CNNVD-202303-2615

KNP   Labs

CNNVD-202303-1442

Trend   Micro

CNNVD-202303-779

WellinTech

CNNVD-202303-1521

WordPress基金会

CNNVD-202303-355

CNNVD-202303-1750

Wyomind

CNNVD-202303-646

baserCMS

CNNVD-202303-1922

CNNVD-202303-1925

xzjie

CNNVD-202303-1451

个人开发者

CNNVD-202303-235

CNNVD-202303-246

CNNVD-202303-379

CNNVD-202303-708

CNNVD-202303-992

CNNVD-202303-995

CNNVD-202303-1210

CNNVD-202303-1450

CNNVD-202303-1477

CNNVD-202303-1599

CNNVD-202303-1664

CNNVD-202303-1673

CNNVD-202303-2138

台达电子

CNNVD-202303-2225

恒基科技

CNNVD-202303-2163

授权问题

AVEVA

CNNVD-202303-1240

NETGEAR   RAX30
   授权问题漏洞
   (CNNVD-202303-1097)

Akuvox

CNNVD-202303-826

Array   Networks

CNNVD-202303-1290

MEGAFEIS

CNNVD-202303-1585

NETGEAR

CNNVD-202303-1097

Red   Hat

CNNVD-202303-1454

个人开发者

CNNVD-202303-627

CNNVD-202303-940

CNNVD-202303-1393

CNNVD-202303-1415

操作系统命令注入

Altenergy   Power System

CNNVD-202303-1096

CoreDial   sipXcom sipXopenfire
   操作系统命令注入漏洞
   (CNNVD-202303-641)

CoreDial

CNNVD-202303-641

个人开发者

CNNVD-202303-843

CNNVD-202303-2173

友讯

CNNVD-202303-909

CNNVD-202303-917

CNNVD-202303-1303

吉翁电子

CNNVD-202303-619

缓冲区错误

Aruba   Networks

CNNVD-202303-035

Aruba   Networks ArubaOS
   缓冲区错误漏洞
   (CNNVD-202303-035)

CNNVD-202303-039

Cisco

CNNVD-202303-214

Google

CNNVD-202303-494

CNNVD-202303-503

CNNVD-202303-1603

CNNVD-202303-1978

CNNVD-202303-2067

CNNVD-202303-2070

CNNVD-202303-2072

HPE

CNNVD-202303-050

SAMSUNG

CNNVD-202303-876

CNNVD-202303-881

CNNVD-202303-908

CNNVD-202303-1612

CNNVD-202303-1835

CNNVD-202303-1839

个人开发者

CNNVD-202303-630

CNNVD-202303-1441

CNNVD-202303-1937

腾达

CNNVD-202303-1214

CNNVD-202303-1472

CNNVD-202303-1474

访问控制错误

Adobe

CNNVD-202303-1239

Omron   PLC CJ series
   访问控制错误漏洞
   (CNNVD-202303-1235)

Akuvox

CNNVD-202303-829

Coder

CNNVD-202303-1850

IBM

CNNVD-202303-234

Omron

CNNVD-202303-1235

ZBT

CNNVD-202303-204

个人开发者

CNNVD-202303-202

CNNVD-202303-1379

CNNVD-202303-1665

台达电子

CNNVD-202303-2189

资源管理错误

Google

CNNVD-202303-424

SAMSUNG   Mobile devices
   资源管理错误漏洞
   (CNNVD-202303-1366)

PMB   Services

CNNVD-202303-390

SAMSUNG

CNNVD-202303-1366

个人开发者

CNNVD-202303-166

CNNVD-202303-167

CNNVD-202303-168

CNNVD-202303-169

CNNVD-202303-172

输入验证错误

Flatpak

CNNVD-202303-1347

Flatpak
   输入验证错误漏洞
   (CNNVD-202303-1347)

Google

CNNVD-202303-419

CNNVD-202303-437

CNNVD-202303-2073

个人开发者

CNNVD-202303-065


1、IBM Security Guardium SQL注入漏洞(CNNVD-202303-1627)

IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。

IBM Security Guardium Key Lifecycle Manager存在SQL注入漏洞,该漏洞源于存在SQL注入漏洞,远程攻击者利用该漏洞可以查看、添加、修改或删除后端数据库中的信息。以下产品和版本受到影响:IBM Security Guardium Key Lifecycle Manager 3.0、3.0.1、4.0、4.1和4.1.1版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ibm.com/support/pages/node/6962729

2、Trend Micro Apex One 代码问题漏洞(CNNVD-202303-779)

Trend Micro Apex One是美国趋势科技(Trend Micro)公司的一款终端防护软件。

Trend Micro Apex One Server存在安全漏洞,该漏洞源于安装程序中存在不受控制的搜索路径元素漏洞,攻击者利用该漏洞可以在受影响的产品上实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://success.trendmicro.com/solution/000292209

3、NETGEAR RAX30 授权问题漏洞(CNNVD-202303-1097)

NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。

NETGEAR RAX30 (AX2400) 1.0.6.74 之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者通过重置管理员密码获得对设备 Web 管理界面的管理访问权限。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.netgear.com/home/wifi/routers/rax30/

4、CoreDial sipXcom sipXopenfire 操作系统命令注入漏洞(CNNVD-202303-641)

CoreDial sipXcom sipXopenfire是美国CoreDial公司的一个电信应用程序。

CoreDial sipXcom sipXopenfire 21.04及之前版本存在操作系统命令注入漏洞,该漏洞源于存在操作系统命令参数注入,攻击者利用该漏洞可以以系统root用户身份执行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

http://download.sipxcom.org/

5、Aruba Networks ArubaOS 缓冲区错误漏洞(CNNVD-202303-035)

Aruba Networks ArubaOS是美国安移通(Aruba Networks)公司的一套面向Aruba Mobility-Defined Networks(包括移动控制器和移动接入交换机)的操作系统。

Aruba Networks ArubaOS 存在安全漏洞,该漏洞源于基于堆的缓冲区溢出漏洞,通过将特制数据包发送到 PAPI(Aruba Networks access point management protocol)的 UDP 端口 (8211),可能导致未经身份验证的远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

6、Omron PLC CJ series 访问控制错误漏洞(CNNVD-202303-1235)

Omron PLC CJ series是日本欧姆龙(Omron)公司的一款CJ系列可编程逻辑控制器(PLC)。

Omron CJ1M PLC v4.0 及之前版本存在访问控制错误漏洞,该漏洞源于存储 UM 密码的内存区域具有不正确的访问控制。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ia.omron.com/product/vulnerability/OMSR-2023-001_en.pdf

7、SAMSUNG Mobile devices 资源管理错误漏洞(CNNVD-202303-1366)

SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。

SAMSUNG Mobile Devices decon driver SMR Mar-2023 Release 1 版本存在安全漏洞,该漏洞源于存在释放后重用问题。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=03

8、Flatpak 输入验证错误漏洞(CNNVD-202303-1347)

Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统。

Flatpak 1.10.8之前版本、1.12.x版本至1.12.8版本、1.14.x版本至1.14.4版本、1.15.x版本至1.15.4版本存在输入验证错误漏洞。攻击者利用该漏洞从虚拟控制台复制文本并将其粘贴到命令缓冲区中,在Flatpak应用程序退出后可能会从中运行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/flatpak/flatpak/commit/8e63de9a7d3124f91140fc74f8ca9ed73ed53be9
1.4.2 高危漏洞实例
2023年3月高危漏洞共861个,其中重要漏洞实例如表6所示。

表6  2023年3月高危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

ByWater   Solutions

CNNVD-202303-333

PrestaShop
   SQL注入漏洞
   (CNNVD-202303-369)

Centreon

CNNVD-202303-2551

CNNVD-202303-2552

CNNVD-202303-2554

CNNVD-202303-2555

CNNVD-202303-2556

CNNVD-202303-2560

Devolutions

CNNVD-202303-043

Faveo

CNNVD-202303-1959

IBM

CNNVD-202303-1578

Ivanti

CNNVD-202303-2608

Moodle

CNNVD-202303-1621

Pimcore

CNNVD-202303-1341

CNNVD-202303-1680

CNNVD-202303-1810

PrestaShop

CNNVD-202303-369

CNNVD-202303-1000

Siemens

CNNVD-202303-994

WordPress基金会

CNNVD-202303-896

CNNVD-202303-1233

CNNVD-202303-1504

CNNVD-202303-1506

CNNVD-202303-1507

CNNVD-202303-1776

CNNVD-202303-1788

CNNVD-202303-1789

CNNVD-202303-1797

CNNVD-202303-2217

个人开发者

CNNVD-202303-359

CNNVD-202303-406

CNNVD-202303-638

CNNVD-202303-865

CNNVD-202303-868

CNNVD-202303-869

CNNVD-202303-1212

CNNVD-202303-1236

CNNVD-202303-1238

CNNVD-202303-1242

CNNVD-202303-1243

CNNVD-202303-1244

CNNVD-202303-1409

CNNVD-202303-1475

CNNVD-202303-1570

CNNVD-202303-1851

CNNVD-202303-1918

CNNVD-202303-1928

CNNVD-202303-1936

CNNVD-202303-2451

卓卓网络

CNNVD-202303-1327

CNNVD-202303-1328

恒基科技

CNNVD-202303-2168

西安众邦网络

CNNVD-202303-200

CNNVD-202303-486

齐博软件

CNNVD-202303-1332

代码问题

Adobe

CNNVD-202303-1186

Apache   InLong
   代码问题漏洞
   (CNNVD-202303-2185)

Apache基金会

CNNVD-202303-736

CNNVD-202303-2185

CNNVD-202303-2427

Appneta

CNNVD-202303-1320

CNNVD-202303-1321

CNNVD-202303-1322

CNNVD-202303-1323

Cisco

CNNVD-202303-044

Dassault   Systèmes

CNNVD-202303-692

Discourse

CNNVD-202303-1424

CNNVD-202303-1440

Flexense

CNNVD-202303-851

Google

CNNVD-202303-530

CNNVD-202303-2112

CNNVD-202303-2114

CNNVD-202303-2115

CNNVD-202303-2118

CNNVD-202303-2123

CNNVD-202303-2125

CNNVD-202303-2127

IBM

CNNVD-202303-1637

Infoline

CNNVD-202303-2678

Jellyfin

CNNVD-202303-740

Jenkins

CNNVD-202303-1647

Kozea

CNNVD-202303-1534

Linux基金会

CNNVD-202303-1291

NETGEAR

CNNVD-202303-1285

OPC   Labs

CNNVD-202303-2618

SAP

CNNVD-202303-960

CNNVD-202303-967

CNNVD-202303-969

SRA   OSS

CNNVD-202303-427

Schneider   Electric

CNNVD-202303-1553

ShopeX

CNNVD-202303-396

CNNVD-202303-398

Simple   Art Gallery

CNNVD-202303-1249

Sitecore

CNNVD-202303-1098

UpThemes

CNNVD-202303-469

UwAmp

CNNVD-202303-1339

Veritas   Technologies

CNNVD-202303-1831

WordPress基金会

CNNVD-202303-356

CNNVD-202303-442

CNNVD-202303-900

XWiki

CNNVD-202303-505

iFAX

CNNVD-202303-767

rami.io

CNNVD-202303-402

vantage6

CNNVD-202303-282

个人开发者

CNNVD-202303-225

CNNVD-202303-239

CNNVD-202303-607

CNNVD-202303-654

CNNVD-202303-731

CNNVD-202303-1375

CNNVD-202303-1567

CNNVD-202303-1674

CNNVD-202303-1921

CNNVD-202303-2203

信呼

CNNVD-202303-1481

台达电子

CNNVD-202303-2181

CNNVD-202303-2193

极致网络科技

CNNVD-202303-1215

梅州市青云客网络科技

CNNVD-202303-1407

贵州觅信科技

CNNVD-202303-832

授权问题

ABB

CNNVD-202303-154

ABB   Symphony Plus S+ Operations
   授权问题漏洞
   (CNNVD-202303-154)

Akuvox

CNNVD-202303-814

Cisco

CNNVD-202303-215

Google

CNNVD-202303-415

Ivanti

CNNVD-202303-771

Next.js

CNNVD-202303-696

SAP

CNNVD-202303-1022

个人开发者

CNNVD-202303-983

CNNVD-202303-1429

友讯

CNNVD-202303-2540

麒麟软件

CNNVD-202303-206

操作系统命令注入

Barracuda   Networks

CNNVD-202303-233

NETGEAR   RBR750
   操作系统命令注入漏洞
   (CNNVD-202303-1595)

CoreDial

CNNVD-202303-640

Fortinet

CNNVD-202303-496

GNU

CNNVD-202303-681

CNNVD-202303-1468

NETGEAR

CNNVD-202303-1595

SAP

CNNVD-202303-973

pyMedusa

CNNVD-202303-2260

个人开发者

CNNVD-202303-279

友讯

CNNVD-202303-2508

CNNVD-202303-2510

CNNVD-202303-2511

CNNVD-202303-2513

CNNVD-202303-2514

CNNVD-202303-2516

CNNVD-202303-2557

恒基科技

CNNVD-202303-2169

CNNVD-202303-2183

麒麟

CNNVD-202303-637

缓冲区错误

Adobe

CNNVD-202303-1127

GNU   LibreDWG
   缓冲区错误漏洞
   (CNNVD-202303-071)

CNNVD-202303-1129

CNNVD-202303-1136

CNNVD-202303-1137

CNNVD-202303-1138

CNNVD-202303-1139

CNNVD-202303-1140

CNNVD-202303-1142

CNNVD-202303-1144

CNNVD-202303-1145

CNNVD-202303-1148

CNNVD-202303-1151

CNNVD-202303-1152

CNNVD-202303-1153

CNNVD-202303-1154

CNNVD-202303-1155

CNNVD-202303-1157

CNNVD-202303-1158

CNNVD-202303-1159

CNNVD-202303-1160

CNNVD-202303-1161

CNNVD-202303-1162

CNNVD-202303-1163

CNNVD-202303-1164

CNNVD-202303-1167

CNNVD-202303-1168

CNNVD-202303-1187

CNNVD-202303-1189

CNNVD-202303-1192

CNNVD-202303-1195

CNNVD-202303-1272

Cisco

CNNVD-202303-216

CNNVD-202303-666

Corel

CNNVD-202303-2538

CNNVD-202303-2539

CNNVD-202303-2541

CNNVD-202303-2543

GFI

CNNVD-202303-1276

GNU

CNNVD-202303-071

Google

CNNVD-202303-422

CNNVD-202303-430

CNNVD-202303-487

CNNVD-202303-488

CNNVD-202303-513

CNNVD-202303-526

CNNVD-202303-532

CNNVD-202303-535

CNNVD-202303-545

CNNVD-202303-1601

CNNVD-202303-1980

CNNVD-202303-1981

CNNVD-202303-1982

CNNVD-202303-1994

CNNVD-202303-2006

CNNVD-202303-2010

CNNVD-202303-2048

CNNVD-202303-2065

CNNVD-202303-2074

CNNVD-202303-2117

CNNVD-202303-2128

CNNVD-202303-2129

IOBit

CNNVD-202303-2160

JTEKT

CNNVD-202303-320

CNNVD-202303-328

Live2D

CNNVD-202303-240

MikroTik

CNNVD-202303-2195

OpenImageIO

CNNVD-202303-2683

Qualcomm

CNNVD-202303-819

Rizin

CNNVD-202303-1094

CNNVD-202303-2086

Rockwell   Automation

CNNVD-202303-1644

Siemens

CNNVD-202303-979

CNNVD-202303-981

CNNVD-202303-984

CNNVD-202303-1002

CNNVD-202303-1009

CNNVD-202303-1012

CNNVD-202303-1080

CNNVD-202303-1088

CNNVD-202303-1089

SoftMaker

CNNVD-202303-1933

SonicWALL

CNNVD-202303-193

Tracker   Software

CNNVD-202303-2578

CNNVD-202303-2580

CNNVD-202303-2582

CNNVD-202303-2584

CNNVD-202303-2586

CNNVD-202303-2587

CNNVD-202303-2588

CNNVD-202303-2589

CNNVD-202303-2594

CNNVD-202303-2595

CNNVD-202303-2596

CNNVD-202303-2598

CNNVD-202303-2599

CNNVD-202303-2601

CNNVD-202303-2619

UPX

CNNVD-202303-2075

CNNVD-202303-2076

CNNVD-202303-2077

CNNVD-202303-2079

CNNVD-202303-2080

CNNVD-202303-2083

CNNVD-202303-2085

WebAssembly

CNNVD-202303-721

XWiki

CNNVD-202303-187

Zoom

CNNVD-202303-1356

CNNVD-202303-1359

个人开发者

CNNVD-202303-075

CNNVD-202303-221

CNNVD-202303-1227

CNNVD-202303-1230

CNNVD-202303-1955

CNNVD-202303-2254

北京奇虎科技有限公司

CNNVD-202303-1865

友讯

CNNVD-202303-891

CNNVD-202303-1304

江民

CNNVD-202303-2130

福昕

CNNVD-202303-2563

CNNVD-202303-2570

腾达

CNNVD-202303-2087

访问控制错误

Apache基金会

CNNVD-202303-2420

Schneider   Electric IGSS Data Server
   访问控制错误漏洞
   (CNNVD-202303-1556)

Lespeed   Technology

CNNVD-202303-1461

CNNVD-202303-1467

Schneider   Electric

CNNVD-202303-1556

Veeam

CNNVD-202303-765

Watchdog

CNNVD-202303-1400

XWiki

CNNVD-202303-181

恒基科技

CNNVD-202303-2175

资源管理错误

ARM

CNNVD-202303-357

ZOHO   ManageEngine ServiceDesk Plus
   资源管理错误漏洞
   (CNNVD-202303-374)

CNNVD-202303-639

Adobe

CNNVD-202303-1131

CNNVD-202303-1146

CNNVD-202303-1147

CNNVD-202303-1150

CNNVD-202303-1165

CNNVD-202303-1166

CNNVD-202303-1193

CNNVD-202303-1216

Cambridge

CNNVD-202303-1572

Fortinet

CNNVD-202303-489

Google

CNNVD-202303-474

CNNVD-202303-537

CNNVD-202303-539

CNNVD-202303-540

CNNVD-202303-544

CNNVD-202303-1600

CNNVD-202303-1602

CNNVD-202303-1604

CNNVD-202303-1605

CNNVD-202303-1608

CNNVD-202303-2004

CNNVD-202303-2111

JTEKT

CNNVD-202303-329

Linux基金会

CNNVD-202303-175

CNNVD-202303-659

CNNVD-202303-1744

CNNVD-202303-1915

CNNVD-202303-2640

Qualcomm

CNNVD-202303-824

Tesla

CNNVD-202303-2553

Tracker   Software

CNNVD-202303-2577

CNNVD-202303-2593

ZOHO

CNNVD-202303-374

个人开发者

CNNVD-202303-699

CNNVD-202303-1396

CNNVD-202303-1402

CNNVD-202303-1907

CNNVD-202303-2207

开放原子开源基金会

CNNVD-202303-734

福昕

CNNVD-202303-2509

CNNVD-202303-2517

CNNVD-202303-2518

CNNVD-202303-2519

CNNVD-202303-2559

CNNVD-202303-2561

CNNVD-202303-2562

CNNVD-202303-2565

CNNVD-202303-2566

CNNVD-202303-2567

CNNVD-202303-2573

输入验证错误

Adobe

CNNVD-202303-1128

IBM   Financial Transaction Manager
   输入验证错误漏洞
   (CNNVD-202303-834)

CNNVD-202303-1132

CNNVD-202303-1133

CNNVD-202303-1149

CNNVD-202303-1156

CNNVD-202303-1190

CNNVD-202303-1202

Canon

CNNVD-202303-2548

Cisco

CNNVD-202303-1891

Google

CNNVD-202303-412

CNNVD-202303-425

CNNVD-202303-519

CNNVD-202303-2056

CNNVD-202303-2121

CNNVD-202303-2126

IBM

CNNVD-202303-005

CNNVD-202303-834

CNNVD-202303-1676

OpenSIPS

CNNVD-202303-1262

CNNVD-202303-1274

CNNVD-202303-1278

CNNVD-202303-1282

CNNVD-202303-1283

CNNVD-202303-1284

CNNVD-202303-1286

CNNVD-202303-1287

Qualcomm

CNNVD-202303-808

Schneider   Electric

CNNVD-202303-1568


1、PrestaShop SQL注入漏洞(CNNVD-202303-369)

PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。

PrestaShop Xen Forum 2.13.0之前版本存在安全漏洞。攻击者利用该漏洞执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://addons.prestashop.com/en/blog-forum-new/19299-xen-forum.html

2、Apache InLong 代码问题漏洞(CNNVD-202303-2185)

Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。

Apache Software Foundation Apache InLong 1.1.0版本至1.5.0版本存在代码问题漏洞,该漏洞源于不可信数据反序列化。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/xbvtjw9bwzgbo9fp1by8o3p49nf59xzt

3、ABB Symphony Plus S+ Operations 授权问题漏洞(CNNVD-202303-154)

ABB Symphony Plus S+ Operations是ABB公司的一个分散控制系统。

ABB Symphony Plus S+ Operations存在授权问题漏洞,该漏洞源于存在不正确身份验证,以下产品和版本受到影响:Symphony Plus S+ Operations 2.1 SP2 之前版本、 2.2版本、 3.3 SP1之前版本、 3.3 SP2版本.。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://search.abb.com/library/Download.aspx?DocumentID=7PAA006722&LanguageCode=en&DocumentPartId=&Action=Launch

4、NETGEAR RBR750 操作系统命令注入漏洞(CNNVD-202303-1595)

NETGEAR RBR750是美国网件(NETGEAR)公司的一套家庭WiFi系统。

NETGEAR RBR750 4.6.8.5版本存在操作系统命令注入漏洞,该漏洞源于在访问控制功能中存在命令执行漏洞。攻击者可利用该漏洞构造HTTP请求来触发任意命令执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.netgear.com/support/product/RBR750

5、GNU LibreDWG 缓冲区错误漏洞(CNNVD-202303-071)

GNU LibreDWG是美国GNU社区的一个用于处理DWG文件的C语言库。

GNU LibreDWG v0.12.5版本存在安全漏洞,该漏洞源于bits.c 中的 bit_read_RC 函数存在基于堆的缓冲区溢出。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://github.com/LibreDWG/libredwg

6、Schneider Electric IGSS Data Server 访问控制错误漏洞(CNNVD-202303-1556)

Schneider Electric IGSS Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形 Scada 系统的数据服务器。

Schneider Electric IGSS Data Server(IGSSdataServer.exe) V16.0.0.23040版本及之前版本、IGSS Dashboard(DashBoard.exe) V16.0.0.23040版本及之前版本、Custom Reports(RMS16.dll) V16.0.0.23040版本及之前版本存在访问控制错误漏洞,该漏洞源于缺少关键功能身份的验证。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://igss.schneider-electric.com/

7、ZOHO ManageEngine ServiceDesk Plus 资源管理错误漏洞(CNNVD-202303-374)

ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。

ZOHO ManageEngine ServiceDesk Plus 14104版本及之前版本、Asset Explorer 6987版本及之前版本、ServiceDesk Plus MSP 14000之前版本、Support Center Plus 14000之前版本存在安全漏洞.攻击者利用该漏洞导致系统拒绝服务。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.manageengine.com/products/service-desk/CVE-2023-26601.html

8、IBM Financial Transaction Manager 输入验证错误漏洞(CNNVD-202303-834)

IBM Financial Transaction Manager是美国国际商业机器(IBM)公司的一款金融事务管理器。该产品主要用于监控、跟踪和报告金融支付和交易。

IBM Financial Transaction Manager 3.2.0 到 3.2.10版本存在安全漏洞,该漏洞源于该系统验证不当,攻击者利用该漏洞可以执行未经授权的操作。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ibm.com/support/pages/node/6958504
二、漏洞平台推送情况
2023年3月漏洞平台推送漏洞76054个。

表7  2023年3月漏洞平台推送情况表

序号

漏洞平台

漏洞总量

1

补天平台

17611

2

漏洞盒子

53950

3

360漏洞云

4493

推送总计

76054
三、接报漏洞情况
2023年3月接报漏洞1898个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)1205个。

序号

报送单位

漏洞数量

1            

北京山石网科信息技术有限公司

547

2            

北京众安天下科技有限公司

175

3            

北京华云安信息技术有限公司

105

4            

个人

97

5            

安徽华云安科技有限公司

59

6            

中瑞创信息技术(北京)有限公司

54

7            

星云博创科技有限公司

40

8            

广州锦行网络科技有限公司

40

9            

中孚安全技术有限公司

34

10      

内蒙古思沃科技有限公司

31

11      

北京门石信息技术有限公司

29

12      

杭州海康威视数字技术股份有限公司

28

13      

北京中睿天下信息技术有限公司

27

14      

上海斗象信息科技有限公司

25

15      

杭州安恒信息技术股份有限公司

25

16      

北京启明星辰信息安全技术有限公司

25

17      

杭州美创科技股份有限公司

24

18      

重庆都会信息科技有限公司

22

19      

博智安全科技股份有限公司

22

20      

北京江南天安科技有限公司

22

21      

深圳市腾讯计算机系统有限公司

19

22      

北京网御星云信息技术有限公司

19

23      

北京安胜华信科技有限公司

17

24      

上海上讯信息技术股份有限公司

16

25      

北京信联数安科技有限公司

14

26      

北京边界无限科技有限公司

14

27      

中电信数智科技有限公司

13

28      

长扬科技(北京)股份有限公司

13

29      

北京五一嘉峪科技有限公司

13

30      

快页信息技术有限公司

12

31      

国网湖北省电力有限公司电力科学研究院

11

32      

北京永信至诚科技股份有限公司

11

33      

北京赛博昆仑科技有限公司

10

34      

天津市兴先道科技有限公司

9

35      

锐捷网络股份有限公司

9

36      

北京神州绿盟科技有限公司

9

37      

沈阳东软系统集成工程有限公司

8

38      

山东云天安全技术有限公司

8

39      

任子行网络技术股份有限公司

8

40      

广州竞远安全技术股份有限公司

8

41      

烽台科技(北京)有限公司

8

42      

中国电信股份有限公司网络安全产品运营中心

7

43      

内蒙古云科数据服务股份有限公司

7

44      

贵州泰若数字科技有限公司

7

45      

贵州数创控股(集团)有限公司

7

46      

北京长亭科技有限公司

7

47      

安徽三实软件科技有限公司

7

48      

西安四叶草信息技术有限公司

6

49      

上海谋乐网络科技有限公司

6

50      

上海安识网络科技有限公司

6

51      

江苏金盾检测技术股份有限公司

6

52      

北京容辉智信科技有限公司

6

53      

北京安天网络安全技术有限公司

6

54      

重庆梦之想科技有限责任公司

5

55      

天翼数智科技(北京)有限公司

5

56      

深圳市魔方安全科技有限公司

5

57      

赛尔网络有限公司

5

58      

湖南浩基信息技术有限公司

5

59      

杭州中电安科现代科技有限公司

5

60      

北京威努特技术有限公司

5

61      

新华三技术有限公司

4

62      

杭州默安科技有限公司

4

63      

北京中测安华科技有限公司

4

64      

北京智游网安科技有限公司

4

65      

北京圣博润高新技术股份有限公司

4

66      

北京奇虎科技有限公司

4

67      

智网安云(武汉)信息技术有限公司

3

68      

郑州云智信安安全技术有限公司

3

69      

证通股份有限公司

3

70      

浙江宇视科技有限公司

3

71      

卫士通(广州)信息安全技术有限公司

3

72      

厦门捷诺通信息技术股份有限公司

3

73      

厦门安胜网络科技有限公司

3

74      

南京赛宁信息技术有限公司

3

75      

江苏通付盾科技有限公司

3

76      

河南听潮盛世信息技术有限公司

3

77      

广州非凡信息安全技术有限公司

3

78      

北京华胜久安科技有限公司

3

79      

北京安盟信息技术股份有限公司

3

80      

中兴通讯股份有限公司

2

81      

郑州埃文计算机科技有限公司

2

82      

长春嘉诚信息技术股份有限公司

2

83      

山东鼎夏智能科技有限公司

2

84      

三六零数字安全科技集团有限公司

2

85      

湖南匡安网络技术有限公司

2

86      

黑龙江安信与诚科技开发有限公司

2

87      

广州天畅信息技术有限公司

2

88      

北京源堡科技有限公司

2

89      

北京微步在线科技有限公司

2

90      

北京华顺信安信息技术有限公司

2

91      

北京安帝科技有限公司

2

92      

安全邦(北京)信息技术有限公司

2

93      

浙江大学307Lab

1

94      

上海腾蒙信息科技有限公司

1

95      

南京众智维信息科技有限公司

1

96      

南方电网数字电网集团信息通信科技有限公司

1

97      

浪潮云信息技术股份公司

1

98      

恒安嘉新(北京)科技股份公司

1

99      

河南天祺信息安全技术有限公司

1

100  

广西百色英晖科技有限公司

1

101  

广东为辰信息科技有限公司

1

102  

工业和信息化部电子第五研究所

1

103  

北京云科安信科技有限公司

1

104  

北京网藤科技有限公司

1

105  

北京时代新威信息技术有限公司

1

106  

北京六方云信息技术有限公司

1

107  

北京聚信得仁科技有限公司

1

108  

北京京东尚科信息技术有限公司

1

报送合计

1898


表8  2023年3月接报漏洞情况表

四、重大漏洞通报Apache OpenOffice参数注入漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952/CVE-2022-47502)情况的报送。成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已经发布了漏洞修复补丁,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于Apache OpenOffice 文档内可通过含有任意参数的链接调用内部宏,恶意攻击者通过修改特殊URI Scheme构造恶意链接调用宏,当用户点击链接或通过自动文档事件激活时,会导致覆盖掉文档中现有宏的代码,从而执行任意代码。

. 危害影响

成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。

. 修复建议

目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方下载链接:

https://www.openoffice.org/download/


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-7-18 15:46 , Processed in 0.030644 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部