根据国家信息安全漏洞库（CNNVD）统计，本周（2023.07.10~2023.07.16）CNNVD接报漏洞215个，其中信息技术产品漏洞（通用型漏洞）135个，网络信息系统漏洞（事件型漏洞）80个；CNNVD收录漏洞通报141份。

本周重点关注漏洞包括：CVE-2023-37582 Apache RocketMQ 代码注入漏洞、2023-07 补丁日 微软多个漏洞安全更新、CVE-2023-37415 Apache Airflow 输入验证错误漏洞、CVE-2023-28985 Juniper Networks SRX Series 安全漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-37582 Apache RocketMQ 代码注入漏洞

威胁等级：超危

漏洞描述：

2023年07月12日，华云安思境安全团队监测 Apache 官方发布了安全通告，披露了 Apache RocketMQ 存在代码注入漏洞。Apache RocketMQ 是一个统一消息引擎、轻量级数据处理平台。漏洞存在于当RocketMQ的NameServer组件暴露在外网时，并且缺乏有效的身份认证机制时，攻击者可以利用更新配置功能，以RocketMQ运行的系统用户身份执行命令，可窃取敏感信息。

情报来源：

https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc   

02 2023-07 补丁日 微软多个漏洞安全更新

威胁等级：高危

漏洞描述：

2023年07月12日，华云安思境安全团队监测发现 Microsoft 官网发布安全更新，此次安全更新发布了 130 个漏洞补丁，其中包含 9 个严重漏洞，121 个高危漏洞。主要覆盖了以下组件：Microsoft Windows and Windows Components; Office and Office Components; .NET and Visual Studio; Azure Active Directory and DevOps; Microsoft Dynamics; Printer Drivers; DNS Server; and Remote Desktop等。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

情报来源：

https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul   

03 CVE-2023-37415 Apache Airflow 输入验证错误漏洞

威胁等级：高危

漏洞描述：

2023年07月13日，华云安思境安全团队监测到 Apache 官方发布安全通告，Apache Airflow Apache Hive Provider 6.1.2之前版本存在输入验证错误漏洞。Apache Airflow 是一个用 Python 编写的开源工作流管理系统，用于以编程方式创作、调度和监控工作流，将复杂的数据处理任务分解为简单的任务。允许未经身份验证的攻击者利用该漏洞可以获取敏感信息。

情报来源：

https://lists.apache.org/thread/9wx0jlckbnycjh8nj5qfwxo423zvm41k   

04 CVE-2023-28985 Juniper Networks SRX Series 安全漏洞

威胁等级：高危

漏洞描述：

2023年07月14日，华云安思境安全团队监测发现 Juniper 官方发布安全通告，披露了 Juniper Networks SRX Series存在安全漏洞。Juniper Networks SRX Series是 Juniper Networks 公司的一套 SRX 系列服务网关设备。漏洞存在于入侵检测和防御 (IDP) 中存在输入语法正确性验证不当，允许未经身份验证的网络攻击者造成拒绝服务 (DoS)。

情报来源：

https://supportportal.juniper.net/s/article/2023-07-Security-Bulletin-SRX-Series-and-MX-Series-An-FPC-core-is-observed-when-IDP-is-enabled-on-the-device-and-a-specific-malformed-SSL-packet-is-received-CVE-2023-28985?language=en_US   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法