根据国家信息安全漏洞库（CNNVD）统计，本周（2023.10.02~2023.10.08）CNNVD接报漏洞120个，其中信息技术产品漏洞（通用型漏洞）88个，网络信息系统漏洞（事件型漏洞）32个；CNNVD收录漏洞通报67份。

本周重点关注漏洞包括：CVE-2023-20101 Cisco Emergency Responder 代码执行漏洞、CVE-2023-32485 Dell SmartFabric Storage Software 提权漏洞、CVE-2023-2809 Sage 200c 提权漏洞、CVE-2023-37404 IBM Observability with Instana 代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-20101 Cisco Emergency Responder 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年10月04日，华云安思境安全团队监测发现 Cisco 官方发布安全通告，披露了 Cisco Emergency Responder 12.5(1)SU4版本存在代码执行漏洞。Cisco Emergency Responder是 Cisco 公司的一款应急响应平台。未经身份验证的攻击者可能利用该漏洞登录受影响的系统并以root用户身份执行任意命令。

情报来源：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cer-priv-esc-B9t3hqk9   

02 CVE-2023-32485 Dell SmartFabric Storage Software 提权漏洞

威胁等级：超危

漏洞描述：

2023年10月05日，华云安思境安全团队监测发现 Dell 官方发布了安全通告，披露了 Dell SmartFabric Storage Software 1.3 版本存在输入验证错误漏洞。Dell SmartFabric Storage Software 是戴尔公司的一个独立的存储软件解决方案。未经身份验证的远程攻击者可能利用此漏洞将权限提升至管理员级别。

情报来源：

https://www.dell.com/support/kbdoc/en-us/000216587/dsa-2023-283-security-update-for-dell-smartfabric-storage-software-vulnerabilities   

03 CVE-2023-2809 Sage 200c 提权漏洞

威胁等级：超危

漏洞描述：

2023年10月6日，华云安思境安全团队监测发现 Sage 官方发布安全更新，披露了 Sage 200c 2023.38.001 版本存在提升系统权限漏洞。Sage 200c是 Sage 公司的一款适用于所有企业的 ERP 软件。由于应用存在明文凭据，未经身份验证的攻击者可能从 DLL 应用程序中提取 SQL 数据库凭据，并提升 Windows 系统上的权限。

情报来源：

https://developer.sage.com/api/200/esp/   

04 CVE-2023-37404 IBM Observability with Instana 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年10月08日，华云安思境安全团队监测发现 IBM 官方披露了 IBM Observability with Instana 存在安全漏洞。IBM Observability with Instana是 IBM 公司的一个强大的应用程序性能监控解决方案，可以更快地跟踪性能和解决事件。未经身份验证的攻击者可能通过 DNS 投毒攻击后可以在主机上执行任意代码。

情报来源：

https://exchange.xforce.ibmcloud.com/vulnerabilities/259789   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！