根据国家信息安全漏洞库（CNNVD）统计，本周（2023.04.03~2023.04.09）CNNVD接报漏洞269个，其中信息技术产品漏洞（通用型漏洞）181个，网络信息系统漏洞（事件型漏洞）88个。CNNVD收录漏洞通报70份，其中华云安报送5份！

本周重点关注漏洞包括：CVE-2023-1260 RedHat openshift 身份验证绕过漏洞、CVE-2023-25941 Dell PowerScale OneFS 特权提升漏洞、CVE-2023-28706 Apache Airflow 代码注入漏洞、CVE-2023-28206 Apple macOS Ventura 缓冲区错误漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-1260 RedHat openshift 身份验证绕过漏洞

威胁等级：高危

漏洞描述：

2023年04月04日，华云安思境安全团队监测发现 RedHat 官方发布了安全更新，披露了 Red Hat openshift 存在身份验证绕过漏洞。RedHat OpenShift 是一套在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台，可以实现全堆栈自动化运维，以管理混合云和多云部署。未经身份验证的攻击者可能利用该漏洞规避SCC准入限制，从而获得对特权pod的控制。

情报来源：

https://access.redhat.com/security/cve/cve-2023-1260   

02 CVE-2023-25941 Dell PowerScale OneFS 特权提升漏洞

威胁等级：超危

漏洞描述：

2023年04月04日，华云安思境安全团队监测发现 Dell 官方发布安全更新，披露了 Dell PowerScale OneFS 8.2.x-9.5.0.x 存在特权提升漏洞。Dell PowerScale OneFS是 Dell 公司的一个提供横向扩展NAS的操作系统。未经身份验证的攻击者利用该漏洞可能导致拒绝服务、权限提升和信息泄露。

情报来源：

https://www.dell.com/support/kbdoc/zh-cn/000211539/dell-emc-powerscale-onefs-security   

03 CVE-2023-28706 Apache Airflow 代码注入漏洞

威胁等级：超危

漏洞描述：

2023年04月07日，华云安思境安全团队监测发现 Apache 官网发布安全更新，Apache Airflow 6.0.0之前版本存在代码注入漏洞。Apache Airflow 是一个调度程序，用于以编程方式创作、调度和监控工作流。未经身份验证的攻击者可能利用该漏洞实现代码注入。

情报来源：

https://lists.apache.org/thread/dl20xxd51xvlx0zzc0wzgxfjwgtbbxo3   

04 CVE-2023-28206 Apple macOS Ventura 缓冲区错误漏洞

威胁等级：高危

漏洞描述：

2023年04月07日，华云安思境安全团队监测发现 Apple 官方发布了安全更新，披露了 Apple macOS Ventura 13.3.1 版本存在缓冲区错误漏洞。Apple macOS Ventura 是 Apple 公司的一个桌面操作系统。未经身份验证的攻击者可能利用该漏洞使用内核权限执行任意代码。

情报来源：

https://support.apple.com/en-us/HT213725   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课