根据国家信息安全漏洞库（CNNVD）统计，本周（2023.10.16~2023.10.22）CNNVD接报漏洞232个，其中信息技术产品漏洞（通用型漏洞）190个，网络信息系统漏洞（事件型漏洞）42个；CNNVD收录漏洞通报125份，其中华云安报送2份。

本周重点关注漏洞包括：CVE-2023-46233 crypto-js 信息泄露漏洞、CVE-2023-46747 F5 BIG-IP Configuration utility 代码执行漏洞、CVE-2023-46604 Apache ActiveMQ 命令执行漏洞、CVE-2023-34048 VMware vCenter Server 远程代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-46233 crypto-js 信息泄露漏洞

威胁等级：超危

漏洞描述：

2023年10月25日，华云安思境安全团队监测发现 Redhat 官方发布安全更新，披露了 crypto-js 4.2.0 之前版本存在安全漏洞。crypto-js 是谷歌开发的一个 JavaScript 加密算法类库，可以非常方便的在前端进行其所支持的加解密操作。未经身份验证的攻击者可能利用该漏洞破解加密数据并导致信息泄露。

情报来源：

https://access.redhat.com/security/cve/cve-2023-46233   

02 CVE-2023-46747 F5 BIG-IP Configuration utility 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年10月26日，华云安思境安全团队监测发现 F5 官方发布了安全通告，披露了 F5 BIG-IP Configuration utility存在远程代码执行漏洞。F5 BIG-IP 是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。未经身份验证的远程攻击者可能利用此漏洞通过 management port 或 self IP addresses 执行任意系统命令。

情报来源：

https://my.f5.com/manage/s/article/K000137353   

03 CVE-2023-46604 Apache ActiveMQ 命令执行漏洞

威胁等级：超危

漏洞描述：

2023年10月27日，华云安思境安全团队监测发现 Apache 官方发布安全更新，披露了 Apache ActiveMQ 5.15.16之前、5.16.7之前、5.17.6之前、5.18.3之前版本存在命令执行漏洞。ActiveMQ 是 Apache 软件基金会所研发开源的消息中间件，为应用程序提供高效的、可扩展的、稳定的和安全的企业级消息通信。未经身份验证的远程攻击者可能利用此漏洞在受影响的系统上操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令。

情报来源：

https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt   

04 CVE-2023-34048 VMware vCenter Server 远程代码执行漏洞

威胁等级：超危

漏洞描述：

2023年10月28日，华云安思境安全团队监测到 VMware 官方发布安全更新，披露了 VMware vCenter Server 8.0版本，7.0版本，5.x版本，4.x版本存在远程代码执行漏洞。VMware vCenter Server 是 VMware 公司提供的一种虚拟化管理平台，可以帮助用户管理和监控 VMware vSphere 环境中的虚拟机。该版本存在一个 SSRF 漏洞，未经身份验证的远程攻击者可能利用此漏洞远程执行代码。

情报来源：

https://www.vmware.com/security/advisories/VMSA-2023-0023.html   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！