根据国家信息安全漏洞库(CNNVD)统计,本周(2023.11.13~2023.11.19)CNNVD接报漏洞366个,其中信息技术产品漏洞(通用型漏洞)303个,网络信息系统漏洞(事件型漏洞)63个,其中华云安报送6份;CNNVD收录漏洞通报95份,其中华云安报送3份。
本周重点关注漏洞包括:CVE-2023-46750 Apache Shiro开放重定向漏洞、CVE-2023-34060 VMware Cloud Director 安全漏洞、2023-11 补丁日 微软多个漏洞安全更新、CVE-2023-26031 Apache Hadoop 安全漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-46750 Apache Shiro开放重定向漏洞
威胁等级:超危
漏洞描述:
2023年11月13日,华云安思境安全团队监测到 Apache 官方发布安全更新,披露了Apache Shiro < 1.13.0 版本存在安全漏洞。Apache Shiro是一个功能强大且易于使用的 Java 安全框架,可以执行身份验证、授权、加密和会话管理。未经身份验证的远程攻击者可能利用此漏洞将受害者的URL重定向到恶意站点,成功利用该漏洞可能导致网络钓鱼、窃取用户敏感信息等。
情报来源:
https://shiro.apache.org/blog/2023/11/10/apache-shiro-1130-released.html
02 CVE-2023-34060 VMware Cloud Director 安全漏洞
威胁等级:超危
漏洞描述:
2023年11月13日,华云安思境安全团队监测发现 VMware 官方发布安全更新,披露了 VMware Cloud Director 存在安全漏洞VMware Cloud Director是一个云服务交付平台,用于虚拟数据中心管理、数据中心扩展、云迁移以及托管自动化工具。未经身份验证的远程攻击者可能在无需用户交互的复杂度较低的攻击活动中远程利用该漏洞。
情报来源:
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
03 2023-11 补丁日 微软多个漏洞安全更新
威胁等级:超危
漏洞描述:
2023年11月15日,华云安思境安全团队监测发现 Microsoft 官网发布安全更新,此次安全更新发布了63个漏洞补丁,其中包含 3 个严重漏洞,56个高危漏洞,4个中危漏洞。主要覆盖了以下组件:Microsoft Windows and Windows Components; Exchange Server; Office and Office Components; http://ASP.NET and .NET Framework; Azure; Mariner; Microsoft Edge (Chromium-based);Windows Hyper-V;Visual Studio等。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
情报来源:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
04 CVE-2023-26031 Apache Hadoop 安全漏洞
威胁等级:超危
漏洞描述:
2023年11月16日,华云安思境安全团队监测发现 Apache 官方发布安全更新,披露了 Apache Hadoop 3.3.1到3.3.4版本存在安全漏洞。Apache Hadoop是一个开源的分布式计算框架,旨在处理大规模数据集。它提供了一种可靠、高效且可扩展的方式来存储和处理数据,并支持在集群上运行各种应用程序。未经身份验证的远程攻击者可能利用此漏洞在目标系统获得 root 权限。
情报来源:
https://lists.apache.org/thread/q9qpdlv952gb4kphpndd5phvl7fkh71r
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
