华云安漏洞安全周报【第137期】

根据，本周（2023.05.29~2023.06.04）CNNVD接报漏洞211个，其中信息技术产品漏洞（通用型漏洞）163个，网络信息系统漏洞（事件型漏洞）48个，其中华云安报送漏洞3个！CNNVD收录漏洞通报88份。

本周重点关注漏洞包括：CVE-2023-30601 Apache Cassandra 越权漏洞、CVE-2023-23952 Broadcom Advanced Secure Gateway 命令注入漏洞、CVE-2023-27285 IBM Aspera 缓冲区溢出漏洞、Progress MOVEit Transfer SQL 注入漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-30601 Apache Cassandra 越权漏洞

威胁等级：高危

漏洞描述：

2023年05月29日，华云安思境安全团队监测到 Apache 官方发布安全安全通告，披露了 Apache Cassandra 4.0.0 到4.0.9 版本、4.1.0 到 4.1.1 版本存在安全漏洞。Apache Cassandra 是一个开源分布式的 NoSQL 数据库系统，可以快速扩展管理海量数据，无单点故障。未经身份验证的攻击者利用该漏洞可能权限提升并运行任意命令。

情报来源：

   

 

02 CVE-2023-23952 Broadcom Advanced Secure Gateway 命令注入漏洞

威胁等级：超危

漏洞描述：

2023年05月30日，华云安思境安全团队监测到 Broadcom 官方发布了安全通告，披露了 Broadcom Advanced Secure Gateway 7.3.13.1 之前版本、Content Analysis 3.1.6.0 之前版本存在安全漏洞。Broadcom Advanced Secure Gateway（ASG）是 Broadcom 公司的一款安全Web网关设备。未经身份验证的攻击者利用该漏洞可能执行远程命令注入攻击。

情报来源：

   

03 CVE-2023-27285 IBM Aspera 缓冲区溢出漏洞

威胁等级：高危

漏洞描述：

2023年06月02日，华云安思境安全团队监测到 IBM 官方发布安全通告，披露了 IBM Aspera Connect 4.2.5 版本和 IBM Aspera Cargo 4.2.5 版本存在安全漏洞。IBM Aspera 是 IBM 公司的一套基于 IBM FASP 协议构建的快速文件传输和流解决方案。未经身份验证的攻击者利用该漏洞可能导致缓冲区溢出并在系统上执行任意代码。

情报来源：

   

04 Progress MOVEit Transfer SQL 注入漏洞

威胁等级：高危

漏洞描述：

2023年06月02日，华云安思境安全团队监测到 Progress 官方发布了安全通告，披露了 MOVEit Transfer 2023.0.0 (15.0)、2022.1.x (14.1)、2022.0.x (14.0)、2021.1.x (13.1)、2021.0.x (13.0)、2020.1.x (12.1)、2020.0.x (12.0) 版本存在安全漏洞。MOVEit Transfer 是 Progress 子公司 Ipswitch 所开发的 MFT 文件共享系统，可以让企业安全地传输文件。未经身份验证的攻击者利用该漏洞可能对 MOVEit Transfer 注入执行代码提升数据库权限。

情报来源：

   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。