根据国家信息安全漏洞库(CNNVD)统计,本周(2023.03.27~2023.04.02)CNNVD接报漏洞803个,其中信息技术产品漏洞(通用型漏洞)200个,网络信息系统漏洞(事件型漏洞)603个。CNNVD收录漏洞通报105份,其中华云安报送5份!
本周重点关注漏洞包括:CVE-2023-27935 Apple macOS Monterey 安全漏洞、CVE-2023-28464 内核权限提升漏洞、CVE-2023-25195 Apache Fineract 服务端请求伪造漏洞、CVE-2022-3513 GitLab 跨站脚本漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-27935 Apple macOS Monterey 任意代码执行
威胁等级:超危
漏洞描述:
2023年03月27日,华云安思境安全团队监测发现 Apple 官方发布了安全更新,披露了 Apple macOS Monterey 存在任意代码执行。Apple macOS Monterey 是 Apple 公司最新一代桌面操作系统。未经身份验证的攻击者利用该漏洞可能导致应用程序意外终止或任意代码执行。
情报来源:
https://support.apple.com/en-us/HT213677
02 CVE-2023-28464 内核权限提升漏洞
威胁等级:高危
漏洞描述:
2023年03月28日,华云安思境安全团队监测发现 Linux kernel 官网发布安全更新,披露了 Linux kernel 6.2.9 版本及之前版本存在安全漏洞。Linux kernel 是开源操作系统 Linux 所使用的内核。未经身份验证的攻击者可能利用该漏洞提升权限。
情报来源:
https://lore.kernel.org/lkml/20230309074645.74309-1-wzhmmmmm@gmail.com/
https://cxsecurity.com/cveshow/CVE-2023-28464/
03 CVE-2023-25195 Apache Fineract 服务端请求伪造漏洞
威胁等级:高危
漏洞描述:
2023年03月28日,华云安思境安全团队监测发现 Apache 官方发布了安全更新,披露了 Apache Software Foundation Apache Fineract 1.4版本至1.8.3版本存在服务端请求伪造(SSRF)漏洞。Apache Fineract 是一个开源软件,用于提供金融服务。它可以支持各种组织类型、交付渠道、产品、服务等。它可以部署在云端或本地,支持在线或离线的前端界面。低授权用户可以获得对服务器的访问权限,并且可以将服务器用于任何出站流量。
情报来源:
https://lists.apache.org/thread/m58fdjmtkfp9h4c0r4l48rv995w3qhb6
04 CVE-2022-3513 GitLab 跨站脚本漏洞
威胁等级:超危
漏洞描述:
2023年03月31日,华云安思境安全团队监测发现 GitLab 官方发布安全更新,披露了 GitLab CE/EE 15.10.1之前的15.10.x版本,15.9.4之前的15.9.x版本,15.8.5之前的15.8.x版本存在安全漏洞。GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。未经身份验证的攻击者利用该漏洞可能执行反射型跨站脚本(XSS)攻击。
情报来源:
https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3513.json
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开
发者可享99元/年,续费同价!
