根据国家信息安全漏洞库（CNNVD）统计，本周（2023.01.02~2023.01.08）CNNVD接报漏洞2355个，其中信息技术产品漏洞（通用型漏洞）126个，网络信息系统漏洞（事件型漏洞）2229个；CNNVD接报漏洞预警19份。

本周重点关注漏洞包括：CVE-2022-39947 Fortinet FortiADC 操作系统命令注入漏洞、CVE-2022-39947 Fortinet FortiADC 操作系统命令注入漏洞、CVE-2022-43920  IBM Sterling B2B Integrator、Microsoft 2023年1月多个安全漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-35845 FortiTester 操作系统命令注入漏洞

威胁等级：高危

漏洞描述：

2023年01月03日，华云安思境安全团队发现 Fortiguard 网站发布了安全通告，披露了 FortiTester 7.1.0、7.0所有版本、4.0.0至4.2.0版本、2.3.0至3.9.1版本存在安全漏洞。FortiTester是一款专业的网络流量测试工具。攻击者可通过组件中存在配置不当的特殊元素在底层shell中执行任意命令。

情报来源：

https://www.fortiguard.com/psirt/FG-IR-22-274 

02 CVE-2022-39947 Fortinet FortiADC 操作系统命令注入漏洞

威胁等级：高危

漏洞描述：

2023年01月03日，华云安思境安全团队发现 Fortiguard 网站发布了安全通告，Fortinet FortiADC的7.0.0至7.0.2版本、6.2.0至6.2.3版本、6.1.0至6.1.6版本、6.0.0至6.0.4版本、5.4.0至5.4.5版本。Fortinet FortiADC是一款应用交付控制器。攻击者可通过对os命令中配置不当的特殊元素，对专门设计的HTTP请求执行任意命令。

情报来源：

https://www.fortiguard.com/psirt/FG-IR-22-061 

03 CVE-2022-43920  IBM Sterling B2B Integrator 安全漏洞

威胁等级：高危

漏洞描述：

2022年01月03日，华云安思境安全团队发现IBM官方网站发布了安全公告，披露了IBM Sterling B2B Integrator Standard Edition 6.0.0.0版本至6.1.2.1版本存在安全漏洞。IBM Sterling B2B Integrator 是一套集成软件，集成了B2B流程、交易和关系等流程。未经身份验证的攻击者可利用Sftp服务器适配器中的访问控制漏洞获取权限。

情报来源：

https://www.ibm.com/support/pages/node/6852465  

04 Microsoft 2023年1月多个安全漏洞

威胁等级：超危

漏洞描述：

2023年01月11日，华云安思境安全团队发现 Microsoft 官方发布1月份安全更新，此次安全更新发布了98个漏洞的补丁，主要覆盖了以下组件：Visual Studio Code，.NET，3D Builder，Azure Service Fabric Container，Windows BitLocker，Windows Defender，Windows Print Spooler Components，Microsoft Exchange Server等服务等。其中包含11个严重漏洞，87个高危漏洞。对此，华云安建议相关用户及时到 Microsoft 官方下载安装对应的安全补丁进行更新！

情报来源：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Jan 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界