根据,本周(2023.09.04~2023.09.10)CNNVD接报漏洞186个,其中信息技术产品漏洞(通用型漏洞)157个,网络信息系统漏洞(事件型漏洞)29个;CNNVD收录漏洞通报78份!
本周重点关注漏洞包括:CVE-2023-40743 Apache Axis 输入验证错误漏洞、CVE-2023-31242 身份验证绕过漏洞、CVE-2023-37941 Apache Superset 远程代码执行漏洞、CVE-2022-33164 IBM Security Directory Server 路径遍历漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-40743 Apache Axis 输入验证错误漏洞
威胁等级:超危
漏洞描述:
2023年09月05日,华云安思境安全团队监测到 Apache 官方发布安全通告,披露了 Apache Axis 1.x版本存在输入验证错误漏洞。Apache Axis是 Apache 的一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API,以生成和部署Web服务应用。未经身份验证的攻击者利用该漏洞可能使应用程序遭受 SSRF 或 RCE 攻击。
情报来源:
02 CVE-2023-31242 身份验证绕过漏洞
威胁等级:超危
漏洞描述:
2023年09月05日,华云安思境安全团队监测发现 Open Automation Software官网发布安全更新,披露了 Open Automation Software OAS Platform v18.00.0072 版本存在身份验证绕过漏洞。Open Automation Software OAS Platform 是 Open Automation Software 公司的一个工业物联网(IoT)套件。未经身份验证的攻击者利用此漏洞可能导致任意身份验证。
情报来源:
03 CVE-2023-37941 Apache Superset 远程代码执行漏洞
威胁等级:超危
漏洞描述:
2023年09月06日,华云安思境安全团队监测发现 Apache 官方发布安全通告,披露了 Apache Superset 2.1.0 版本及之前版本存在远程代码执行漏洞。Apache Superset 是一个基于 Python 的开源数据可视化工具。未经身份验证的攻击者利用该漏洞可能在 Superset 的 Web 后端上远程执行代码。
情报来源:
04 CVE-2022-33164 IBM Security Directory Server 路径遍历漏洞
威胁等级:超危
漏洞描述:
2023年09月08日,华云安思境安全团队监测 IBM 官方发布了安全通告,披露了 IBM Security Directory Server 7.2.0版本存在路径遍历漏洞。IBM Security Directory Server是 IBM 公司的一套使用了轻量级目录访问协议(LDAP)的企业身份管理软件。未经身份验证的攻击者可能利用此漏洞发送特制的 URL 请求,查看或写入任意文件。
情报来源:
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
更多【华云安漏洞安全周报【第151期】】相关视频教程:www.yxfzedu.com