首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 企业安全
    3. 发新帖
[原创]华云安漏洞安全周报【第138期】
2023-6-25 14:59 4903

[原创]华云安漏洞安全周报【第138期】

华云安 活跃值
2023-6-25 14:59
4903

根据国家信息安全漏洞库(CNNVD)统计,本周(2023.06.05~2023.06.11)CNNVD接报漏洞428个,其中信息技术产品漏洞(通用型漏洞)275个,网络信息系统漏洞(事件型漏洞)153个;CNNVD收录漏洞通报82份,其中华云安报送漏洞37个,报送预警通报1份,漏洞报送数量位列第三!


本周重点关注漏洞包括:CVE-2023-20887  VMware Aria Operations 命令注入漏洞、CVE-2023-30576  Apache Guacamole 资源管理错误漏洞、CVE-2023-0121 GitLab 资源管理错误漏洞、CVE-2023-27997 Fortinet FortiOS SSL-VPN 远程代码执行漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。



01 CVE-2023-20887  VMware Aria Operations 命令注入漏洞

威胁等级:超危

漏洞描述:

2023年06月07日,华云安思境安全团队监测到 VMware 官方发布安全安全通告,披露了 VMware Aria Operations Networks 6.x 系列版本存在命令注入漏洞。VMware Aria Operations 是一个统一的、AI 支持的自驱动 IT 运维管理平台,适用于私有云、混合云和多云环境。未经身份验证的攻击者利用该漏洞可能在受影响的设备上执行命令注入攻击,从而导致远程代码执行。

情报来源:

https://www.vmware.com/security/advisories/VMSA-2023-0012.html   

 


02 CVE-2023-30576  Apache Guacamole 资源管理错误漏洞

威胁等级:高危

漏洞描述:

20230607日,华云安思境安全团队监测到Apache 官方发布了安全通告,披露了 Apache Guacamole 0.9.10  1.5.1 版本存在资源管理错误漏洞。Apache Guacamole 是一个无客户端的远程桌面网关,它支持众多标准管理协议,例如 VNCRDPSSH 等。未经身份验证的攻击者利用该漏洞可能在受影响的设备上执行远程代码。

情报来源:

https://lists.apache.org/thread/vgtvxb3w7mm84hx6v8dfc0onsoz05gb6     



03 CVE-2023-0121 GitLab 资源管理错误漏洞

威胁等级:高危

漏洞描述:

2023年06月07日,华云安思境安全团队监测到 GitLab 官方发布了安全通告,披露了 GitLab CE/EE  13.2.4 到 15.10.8版本、15.11 到 15.11.7版本、16.0 到 16.0.2 版本存在安全漏洞。Gitlab是一个开源分布式版本控制系统,由Ruby开发,有管理项目源代码、版本控制、代码复用与查找等功能。未经身份验证的攻击者利用该漏洞在受影响的设备上恶意执行特定代码消耗系统资源可能导致拒绝服务。

情报来源:

https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0121.json     



04 CVE-2023-27997 Fortinet FortiOS SSL-VPN 远代码执行漏洞

威胁等级:超危

漏洞描述:

2023年06月12日,华云安思境安全团队监测到 Fortinet 官方发布安全通告,披露了 Fortinet FortiOS 6.0.x < 6.0.17 版本、Fortinet FortiOS 6.2.x < 6.2.15 版本、Fortinet FortiOS 6.4.x < 6.4.13 版本、Fortinet FortiOS 7.0.x < 7.0.12 版本、Fortinet FortiOS 7.2.x < 7.2.5 版本存在远程代码执行漏洞。FortiOS是专用于FortiGate网络安全平台上的安全操作系统,该系统为用户提供防火墙、防病毒、VPN、Web内容过滤和反垃圾邮件等多种安全功能。未经身份验证的攻击者利用该漏洞可能在受影响的设备上执行任意代码。

情报来源:

https://www.fortiguard.com/psirt/FG-IR-23-097    



华云安

华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。




[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回