根据国家信息安全漏洞库（CNNVD）统计，本周（2023.04.10~2023.04.16）CNNVD接报漏洞272个，其中信息技术产品漏洞（通用型漏洞）196个，网络信息系统漏洞（事件型漏洞）76个，其中华云安报送17份！CNNVD收录漏洞通报163份。

本周重点关注漏洞包括：2023年4月补丁日 Microsoft 多个安全漏洞、CVE-2023-27987 Apache Linkis 令牌验证绕过漏洞、CVE-2023-2008 Linux kernel 任意代码执行漏洞、CVE-2023-20866 Spring Session信息泄露漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 2023年4月补丁日 Microsoft 多个安全漏洞

威胁等级：超危

漏洞描述：

2023年04月12日，华云安思境安全团队监测发现 Microsoft 官网发布了多个产品高危漏洞通告。安全等级方面：严重漏洞7个，高危漏洞90个，中危漏洞1个，低危漏洞2个。此次安全更新发布了97个CVE补丁，主要覆盖了以下组件：Microsoft Windows and Windows Components; Office and Office Components; Windows Defender; SharePoint Server; Windows Hyper-V; PostScript Printer; Microsoft Dynamics等。对此，华云安建议相关用户及时到 Microsoft 官方下载安装对应的安全补丁进行更新！

情报来源：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Apr   

02 CVE-2023-27987 Apache Linkis 令牌验证绕过漏洞

威胁等级：超危

漏洞描述：

2023年04月10日，华云安思境安全团队监测发现 Apache 官方发布安全更新，披露了 Apache Linkis 1.3.1及之前版本存在令牌验证绕过漏洞。Apache Linkis 是 Apache 基金会的一款中间件产品，可在上层应用和底层数据引擎之间建立有效连接。未经身份验证的攻击者利用该漏洞可能绕过平台身份验证获取权限。

情报来源：

https://lists.apache.org/thread/3cr1cz3210wzwngldwrqzm43vwhghp0p    

03 CVE-2023-2008 Linux kernel 任意代码执行漏洞

威胁等级：超危

漏洞描述：

2023年04月14日，华云安思境安全团队监测发现 Redhat 官网发布安全更新，披露了 Linux kernel 存在任意代码执行漏洞。Linux Kernel 是开源操作系统Linux所使用的内核，主要用于操作系统的进程管理、内存管理、设备管理、文件管理以及网络管理等功能。未经身份验证的攻击者利用该漏洞可能提升权限并在内核上下文中执行任意代码。

情报来源：

https://bugzilla.redhat.com/show_bug.cgi?id=2186862   

04 CVE-2023-20866 Spring Session 信息泄露漏洞

威胁等级：高危

漏洞描述：

2023年04月13日，华云安思境安全团队监测发现 Spring 官方发布了安全更新，披露了 Spring Session 3.0.0 版本存在信息泄露漏洞。Spring框架是一个开放源代码的J2EE应用程序框架，提供了功能强大IOC、AOP及Web MVC等功能。未经身份验证的攻击者利用该漏洞可能获取敏感信息，并用于会话劫持攻击。

情报来源：

https://spring.io/security/cve-2023-20866   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！