根据国家信息安全漏洞库（CNNVD）统计，本周（2023.08.14~2023.08.20）CNNVD接报漏洞140个，其中信息技术产品漏洞（通用型漏洞）130个，网络信息系统漏洞（事件型漏洞）10个；其中华云安报送3份！CNNVD收录漏洞通报64份。

本周重点关注漏洞包括：CVE-2023-4322 radare2 缓冲区错误漏洞、CVE-2023-32493 Dell PowerScale OneFS 远程执行漏洞、CVE-2023-33238 MOXA TN-4900 命令注入漏洞、CVE-2022-24989 TerraMaster NAS 代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-4322 Radare2 缓冲区错误漏洞

威胁等级：超危

漏洞描述：

2023年08月14日，华云安思境安全团队监测到 Radare2 官方发布安全通告，披露了 Radare2 5.9.0之前版本存在缓存区溢出漏洞。Radare2是一套用于处理二进制文件的库和工具。未经身份验证的攻击者利用该漏洞导致受影响的产品缓冲区溢出。

情报来源：

https://github.com/radareorg/radare2/commit/ba919adb74ac368bf76b150a00347ded78b572dd   

02 CVE-2023-32493 Dell PowerScale OneFS 远程执行漏洞

威胁等级：超危

漏洞描述：

2023年08月16日，华云安思境安全团队监测发现 Dell 官方发布安全通告，披露了 Dell PowerScale OneFS 9.5.0.x版本存在远程执行漏洞。Dell PowerScale OneFS 是 Dell 公司的一个提供横向扩展 NAS 的操作系统。未经身份验证的攻击者利用该漏洞可能导致拒绝服务、信息泄露和远程执行。

情报来源：

https://www.dell.com/support/kbdoc/en-us/000216717/dsa-2023-269-security-update-for-dell-powerscale-onefs-for-multiple-security-vulnerabilities   

03 CVE-2023-33238 MOXA TN-4900 命令注入漏洞

威胁等级：超危

漏洞描述：

2023年08月17日，华云安思境安全团队监测 MOXA 官方发布了安全通告，披露了MOXA TN-4900 v1.2.4 之前版本存在代码执行漏洞。MOXA TN-4900 是一款工业防火墙路由器。未经身份验证的攻击者可能利用此漏洞受影响的设备上执行远程代码。

情报来源：

https://www.moxa.com/en/support/product-support/security-advisory/mpsa-230402-tn-5900-and-tn-4900-series-web-server-multiple-vulnerabilities   

04 CVE-2022-24989 TerraMaster NAS 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年08月20日，华云安思境安全团队监测发现 TerraMaster 官网发布安全更新，披露了 TerraMaster NAS 存在代码执行漏洞。TerraMaster NAS 是 TerraMaster 公司的一个共享式文件存储设备。未经身份验证的攻击者可能利用此漏洞对 api.php?mobile/createRaid 的 raidtype 和 diskstring 参数进行 PHP 对象实例化执行任意代码。

情报来源：

https://forum.terra-master.com/en/viewforum.php?f=28   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课