根据国家信息安全漏洞库(CNNVD)统计,本周(2023.05.22~2023.05.28)CNNVD接报漏洞211个,其中信息技术产品漏洞(通用型漏洞)153个,网络信息系统漏洞(事件型漏洞)58个,CNNVD收录漏洞通报110份。
本周重点关注漏洞包括:CVE-2023-31065 Apache InLong 逻辑错误漏洞、CVE-2023-33246 Apache RocketMQ 命令注入漏洞、CVE-2023-32697 SQLite 远程代码执行漏洞、CVE-2023-2825 GitLab 任意文件读取漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-31065 Apache InLong 逻辑错误漏洞
威胁等级:超危
漏洞描述:
2023年05月21日,华云安思境安全团队监测发现 Apache 官方发布了安全通告,Apache InLong 1.4.0 版本、Apache InLong 1.6.0 版本存在逻辑错误漏洞。Apache InLong 是一个一站式开源海量数据集成框架,Apache InLong 提供了自动、安全、可靠和高性能的数据传输能力,方便业务快速构建基于流式的数据分析、建模和应用。未经身份验证的攻击者利用该漏洞可能使用旧cookie登录账户访问敏感信息。
情报来源:
https://lists.apache.org/thread/to7o0n2cks0omtwo6mhh5cs2vfdbplqf
02 CVE-2023-33246 Apache RocketMQ 命令注入漏洞
2023年05月23日,华云安思境安全团队监测发现 Apache 官方发布了安全通告,披露了 Apache RocketMQ 5.1.0及之前版本存在命令注入漏洞。Apache RocketMQ 是一款分布式消息中间件,统一消息引擎,轻量级数据处理平台,具有低延迟、高并发、高可用、高可靠等特点。未经身份验证的攻击者利用该漏洞可能在以RocketMQ 运行的系统用户执行命令。
https://lists.apache.org/thread/1s8j2c8kogthtpv3060yddk03zq0pxyp
03 CVE-2023-32697 SQLite 远程代码执行漏洞
2023年05月23日,华云安思境安全团队监测发现 SQLite JDBC 发布安全更新,披露了 SQLite JDBC 3.6.14.1、SQLite JDBC 3.41.2.1 版本存在代码注入漏洞。SQLite 是一款轻型的数据库,是遵守ACID的关系型数据库管理系统,占用资源低启动快,支持Windows/Linux/Unix等主流操作系统,能跟很多程序语言结合。未经身份验证的攻击者利用该漏洞可能通过控制 JDBC URL 导致远程代码执行。
https://github.com/xerial/sqlite-jdbc/releases/tag/3.41.2.2
https://github.com/xerial/sqlite-jdbc/security/advisories/GHSA-6phf-6h5g-97j2
04 CVE-2023-2825 GitLab 任意文件读取漏洞
2023年05月23日,华云安思境安全团队监测发现 GitLab 官方发布安全更新,披露了GitLab CE 16.0.0、GitLab EE 16.0.0 版本存在任意文件读取漏洞。Gitlab 是一个基于 git 实现的在线代码仓库托管软件,提供 web 可视化管理界面,通常用于企业团队内部协作开发。未经身份验证的攻击者利用该漏洞可能在服务器上读取任意文件。
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
