Anonymous 发表于 2023-4-10 23:26:43

信息安全漏洞月报2023年3月

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2023年3月份采集安全漏洞共2533个。

本月接报漏洞77952个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)77259个,其中漏洞平台推送漏洞76054个。

重大漏洞通报

Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502):成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

    漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2023年3月份新增安全漏洞共2533个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布253个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到14.21%。本月新增漏洞中,超危漏洞367个、高危漏洞861个、中危漏洞1247个、低危漏洞58个,相应修复率分别为61.04%、87.69%、84.20%以及94.83%。合计2084个漏洞已有修复补丁发布,本月整体修复率82.27%。

截至2023年3月31日,CNNVD采集漏洞总量已达206431个。
1.1 漏洞增长概况
2023年3月新增安全漏洞2533个,与上月(2104个)相比增加了20.39%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2167个。



                                          

图12022年10月至2023年3月漏洞新增数量统计图

1.2 漏洞分布情况1.2.1 漏洞厂商分布
2023年3月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到253个,占本月漏洞总量的9.99%。

表12023年3月排名前十厂商新增安全漏洞统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

WordPress基金会

253

9.99%


2

Google

217

8.57%


3

Adobe

106

4.18%


4

Microsoft

77

3.04%


5

Apple

59

2.33%


6

Linux基金会

43

1.70%


7

Aruba Networks

41

1.62%


8

Git

33

1.30%


9

Cisco

31

1.22%


10

IBM

30

1.18%


1.2.2 漏洞产品分布
2023年3月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共55个,Windows 11漏洞数量最多,共52个,占主流操作系统漏洞总量的10.30%,排名第一。

表22023年3月主流操作系统漏洞数量统计表


序号

操作系统名称

漏洞数量


1

Windows 11

52


2

Windows Server 2022

52


3

Android

51


4

Windows 10

50


5

Windows Server 2019

50


6

Windows Server 2016

49


7

Windows Server 2012

45


8

Windows Server 2012 R2

45


9

Linux Kernel

25


10

Apple iOS

23


11

Apple macOS

23


12

Windows Server 2008

20


13

Windows Server 2008 R2

20

1.2.3 漏洞类型分布
2023年3月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为14.21%。

表32023年3月漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

跨站脚本

360

14.21%


2

缓冲区错误

298

11.76%


3

SQL注入

194

7.66%


4

代码问题

151

5.96%


5

输入验证错误

91

3.59%


6

资源管理错误

88

3.47%


7

跨站请求伪造

77

3.04%


8

命令注入

51

2.01%


9

路径遍历

51

2.01%


10

操作系统命令注入

40

1.58%


11

信息泄露

31

1.22%


12

访问控制错误

29

1.14%


13

授权问题

27

1.07%


14

代码注入

23

0.91%


15

信任管理问题

10

0.39%


16

数据伪造问题

9

0.36%


17

日志信息泄露

7

0.28%


18

后置链接

7

0.28%


19

注入

7

0.28%


20

竞争条件问题

6

0.24%


21

加密问题

4

0.16%


22

安全特征问题

4

0.16%


23

格式化字符串错误

2

0.08%


24

数字错误

2

0.08%


25

环境问题

2

0.08%


26

参数注入

1

0.04%


27

其他

961

37.94%

1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2023年3月漏洞危害等级分布如图2所示,其中超危漏洞367条,占本月漏洞总数的14.49%。



图22023年3月漏洞危害等级分布

1.3漏洞修复情况1.3.1 整体修复情况
2023年3月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到94.83%,超危漏洞修复率最低,比例为61.04%。

总体来看,本月整体修复率由上月的83.79%下降至本月的82.27%。



图32023年3月漏洞修复数量统计
1.3.2 厂商修复情况
2023年3月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Google、Adobe等十个厂商共890条漏洞,占本月漏洞总数的35.14%,漏洞修复率为96.63%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Google、Adobe、Microsoft、Apple、Aruba Networks、Cisco、IBM等公司本月漏洞修复率均为100%,共860条漏洞已全部修复。

表42023年3月厂商修复情况统计表


序号

厂商名称

漏洞数量(个)

修复数量

修复率


1

WordPress基金会

253

227

89.72%


2

Google

217

217

100.00%


3

Adobe

106

106

100.00%


4

Microsoft

77

77

100.00%


5

Apple

59

59

100.00%


6

Linux基金会

43

40

93.02%


7

Aruba Networks

41

41

100.00%


8

Git

33

32

96.97%


9

Cisco

31

31

100.00%


10

IBM

30

30

100.00%


1.4 重要漏洞实例1.4.1 超危漏洞实例
2023年3月超危漏洞共367个,其中重要漏洞实例如表5所示。

表52023年3月超危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

ATM   Consulting

CNNVD-202303-1492

IBM   Security Guardium
   SQL注入漏洞
   (CNNVD-202303-1627)


Akinsoft

CNNVD-202303-678


Alpata

CNNVD-202303-732


AsKoc

CNNVD-202303-1848


CleverStupidDog

CNNVD-202303-164


DataGear

CNNVD-202303-1694


FunAdmin

CNNVD-202303-455


CNNVD-202303-476


CNNVD-202303-609


CNNVD-202303-625


CNNVD-202303-642


CNNVD-202303-650


CNNVD-202303-747


Gentoo

CNNVD-202303-1498


Glox   Technology

CNNVD-202303-163


IBM

CNNVD-202303-1627


Ivanti

CNNVD-202303-2612


CNNVD-202303-2614


CNNVD-202303-2616


CNNVD-202303-2617


MedData

CNNVD-202303-362


PHPGurukul

CNNVD-202303-2267


Pacsrapor

CNNVD-202303-1616


PrestaShop

CNNVD-202303-081


CNNVD-202303-926


CNNVD-202303-1582


CNNVD-202303-1626


CNNVD-202303-1666


CNNVD-202303-1667


CNNVD-202303-1935


CNNVD-202303-2092


CNNVD-202303-2206


Saysis

CNNVD-202303-783


Simple   Art Gallery

CNNVD-202303-1248


CNNVD-202303-1480


Ulkem

CNNVD-202303-616


Utarit   Information Technologies

CNNVD-202303-1395


Uzay   Baskul

CNNVD-202303-063


Variscite

CNNVD-202303-624


WordPress基金会

CNNVD-202303-291


CNNVD-202303-912


CNNVD-202303-1522


CNNVD-202303-1782


drupalprojects

CNNVD-202303-394


jeecg

CNNVD-202303-1399


shiziyu

CNNVD-202303-191


个人开发者

CNNVD-202303-117


CNNVD-202303-162


CNNVD-202303-196


CNNVD-202303-230


CNNVD-202303-231


CNNVD-202303-278


CNNVD-202303-297


CNNVD-202303-429


CNNVD-202303-459


CNNVD-202303-683


CNNVD-202303-686


CNNVD-202303-687


CNNVD-202303-688


CNNVD-202303-690


CNNVD-202303-694


CNNVD-202303-695


CNNVD-202303-700


CNNVD-202303-702


CNNVD-202303-704


CNNVD-202303-707


CNNVD-202303-711


CNNVD-202303-712


CNNVD-202303-713


CNNVD-202303-716


CNNVD-202303-725


CNNVD-202303-726


CNNVD-202303-729


CNNVD-202303-730


CNNVD-202303-845


CNNVD-202303-847


CNNVD-202303-859


CNNVD-202303-860


CNNVD-202303-864


CNNVD-202303-919


CNNVD-202303-942


CNNVD-202303-989


CNNVD-202303-991


CNNVD-202303-1250


CNNVD-202303-1255


CNNVD-202303-1344


CNNVD-202303-1365


CNNVD-202303-1390


CNNVD-202303-1392


CNNVD-202303-1394


CNNVD-202303-1410


CNNVD-202303-1411


CNNVD-202303-1416


CNNVD-202303-1419


CNNVD-202303-1428


CNNVD-202303-1435


CNNVD-202303-1448


CNNVD-202303-1459


CNNVD-202303-1460


CNNVD-202303-1473


CNNVD-202303-1482


CNNVD-202303-1483


CNNVD-202303-1494


CNNVD-202303-1495


CNNVD-202303-1497


CNNVD-202303-1546


CNNVD-202303-1668


CNNVD-202303-1671


CNNVD-202303-1678


CNNVD-202303-1736


CNNVD-202303-1841


CNNVD-202303-1842


CNNVD-202303-1844


CNNVD-202303-1845


CNNVD-202303-1853


CNNVD-202303-1855


CNNVD-202303-1908


CNNVD-202303-1912


CNNVD-202303-1932


CNNVD-202303-2109


CNNVD-202303-2140


CNNVD-202303-2174


中远麒麟科技

CNNVD-202303-1297


梦想cms

CNNVD-202303-739


CNNVD-202303-741


西安众邦网络

CNNVD-202303-1926


代码问题

Adobe

CNNVD-202303-1224

Trend   Micro Apex One
   代码问题漏洞
   (CNNVD-202303-779)


Apache基金会

CNNVD-202303-617


General   Bytes

CNNVD-202303-1619


HPE

CNNVD-202303-047


CNNVD-202303-051


Independentsoft

CNNVD-202303-1951


CNNVD-202303-1958


CNNVD-202303-2090


Ivanti

CNNVD-202303-2609


CNNVD-202303-2611


CNNVD-202303-2613


CNNVD-202303-2615


KNP   Labs

CNNVD-202303-1442


Trend   Micro

CNNVD-202303-779


WellinTech

CNNVD-202303-1521


WordPress基金会

CNNVD-202303-355


CNNVD-202303-1750


Wyomind

CNNVD-202303-646


baserCMS

CNNVD-202303-1922


CNNVD-202303-1925


xzjie

CNNVD-202303-1451


个人开发者

CNNVD-202303-235


CNNVD-202303-246


CNNVD-202303-379


CNNVD-202303-708


CNNVD-202303-992


CNNVD-202303-995


CNNVD-202303-1210


CNNVD-202303-1450


CNNVD-202303-1477


CNNVD-202303-1599


CNNVD-202303-1664


CNNVD-202303-1673


CNNVD-202303-2138


台达电子

CNNVD-202303-2225


恒基科技

CNNVD-202303-2163


授权问题

AVEVA

CNNVD-202303-1240

NETGEAR   RAX30
   授权问题漏洞
   (CNNVD-202303-1097)


Akuvox

CNNVD-202303-826


Array   Networks

CNNVD-202303-1290


MEGAFEIS

CNNVD-202303-1585


NETGEAR

CNNVD-202303-1097


Red   Hat

CNNVD-202303-1454


个人开发者

CNNVD-202303-627


CNNVD-202303-940


CNNVD-202303-1393


CNNVD-202303-1415


操作系统命令注入

Altenergy   Power System

CNNVD-202303-1096

CoreDial   sipXcom sipXopenfire
   操作系统命令注入漏洞
   (CNNVD-202303-641)


CoreDial

CNNVD-202303-641


个人开发者

CNNVD-202303-843


CNNVD-202303-2173


友讯

CNNVD-202303-909


CNNVD-202303-917


CNNVD-202303-1303


吉翁电子

CNNVD-202303-619


缓冲区错误

Aruba   Networks

CNNVD-202303-035

Aruba   Networks ArubaOS
   缓冲区错误漏洞
   (CNNVD-202303-035)


CNNVD-202303-039


Cisco

CNNVD-202303-214


Google

CNNVD-202303-494


CNNVD-202303-503


CNNVD-202303-1603


CNNVD-202303-1978


CNNVD-202303-2067


CNNVD-202303-2070


CNNVD-202303-2072


HPE

CNNVD-202303-050


SAMSUNG

CNNVD-202303-876


CNNVD-202303-881


CNNVD-202303-908


CNNVD-202303-1612


CNNVD-202303-1835


CNNVD-202303-1839


个人开发者

CNNVD-202303-630


CNNVD-202303-1441


CNNVD-202303-1937


腾达

CNNVD-202303-1214


CNNVD-202303-1472


CNNVD-202303-1474


访问控制错误

Adobe

CNNVD-202303-1239

Omron   PLC CJ series
   访问控制错误漏洞
   (CNNVD-202303-1235)


Akuvox

CNNVD-202303-829


Coder

CNNVD-202303-1850


IBM

CNNVD-202303-234


Omron

CNNVD-202303-1235


ZBT

CNNVD-202303-204


个人开发者

CNNVD-202303-202


CNNVD-202303-1379


CNNVD-202303-1665


台达电子

CNNVD-202303-2189


资源管理错误

Google

CNNVD-202303-424

SAMSUNG   Mobile devices
   资源管理错误漏洞
   (CNNVD-202303-1366)


PMB   Services

CNNVD-202303-390


SAMSUNG

CNNVD-202303-1366


个人开发者

CNNVD-202303-166


CNNVD-202303-167


CNNVD-202303-168


CNNVD-202303-169


CNNVD-202303-172


输入验证错误

Flatpak

CNNVD-202303-1347

Flatpak
   输入验证错误漏洞
   (CNNVD-202303-1347)


Google

CNNVD-202303-419


CNNVD-202303-437


CNNVD-202303-2073


个人开发者

CNNVD-202303-065



1、IBM Security Guardium SQL注入漏洞(CNNVD-202303-1627)

IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。

IBM Security Guardium Key Lifecycle Manager存在SQL注入漏洞,该漏洞源于存在SQL注入漏洞,远程攻击者利用该漏洞可以查看、添加、修改或删除后端数据库中的信息。以下产品和版本受到影响:IBM Security Guardium Key Lifecycle Manager 3.0、3.0.1、4.0、4.1和4.1.1版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ibm.com/support/pages/node/6962729

2、Trend Micro Apex One 代码问题漏洞(CNNVD-202303-779)

Trend Micro Apex One是美国趋势科技(Trend Micro)公司的一款终端防护软件。

Trend Micro Apex One Server存在安全漏洞,该漏洞源于安装程序中存在不受控制的搜索路径元素漏洞,攻击者利用该漏洞可以在受影响的产品上实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://success.trendmicro.com/solution/000292209

3、NETGEAR RAX30 授权问题漏洞(CNNVD-202303-1097)

NETGEAR RAX30是美国网件(NETGEAR)公司的一个双频无线路由器。

NETGEAR RAX30 (AX2400) 1.0.6.74 之前版本存在安全漏洞,该漏洞源于允许未经身份验证的攻击者通过重置管理员密码获得对设备 Web 管理界面的管理访问权限。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.netgear.com/home/wifi/routers/rax30/

4、CoreDial sipXcom sipXopenfire 操作系统命令注入漏洞(CNNVD-202303-641)

CoreDial sipXcom sipXopenfire是美国CoreDial公司的一个电信应用程序。

CoreDial sipXcom sipXopenfire 21.04及之前版本存在操作系统命令注入漏洞,该漏洞源于存在操作系统命令参数注入,攻击者利用该漏洞可以以系统root用户身份执行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

http://download.sipxcom.org/

5、Aruba Networks ArubaOS 缓冲区错误漏洞(CNNVD-202303-035)

Aruba Networks ArubaOS是美国安移通(Aruba Networks)公司的一套面向Aruba Mobility-Defined Networks(包括移动控制器和移动接入交换机)的操作系统。

Aruba Networks ArubaOS 存在安全漏洞,该漏洞源于基于堆的缓冲区溢出漏洞,通过将特制数据包发送到 PAPI(Aruba Networks access point management protocol)的 UDP 端口 (8211),可能导致未经身份验证的远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt

6、Omron PLC CJ series 访问控制错误漏洞(CNNVD-202303-1235)

Omron PLC CJ series是日本欧姆龙(Omron)公司的一款CJ系列可编程逻辑控制器(PLC)。

Omron CJ1M PLC v4.0 及之前版本存在访问控制错误漏洞,该漏洞源于存储 UM 密码的内存区域具有不正确的访问控制。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ia.omron.com/product/vulnerability/OMSR-2023-001_en.pdf

7、SAMSUNG Mobile devices 资源管理错误漏洞(CNNVD-202303-1366)

SAMSUNG Mobile devices是韩国三星(SAMSUNG)公司的一系列的三星移动设备,包括手机、平板等。

SAMSUNG Mobile Devices decon driver SMR Mar-2023 Release 1 版本存在安全漏洞,该漏洞源于存在释放后重用问题。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=03

8、Flatpak 输入验证错误漏洞(CNNVD-202303-1347)

Flatpak是一套用于Linux桌面应用计算机环境的应用程序虚拟化系统。

Flatpak 1.10.8之前版本、1.12.x版本至1.12.8版本、1.14.x版本至1.14.4版本、1.15.x版本至1.15.4版本存在输入验证错误漏洞。攻击者利用该漏洞从虚拟控制台复制文本并将其粘贴到命令缓冲区中,在Flatpak应用程序退出后可能会从中运行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/flatpak/flatpak/commit/8e63de9a7d3124f91140fc74f8ca9ed73ed53be9
1.4.2 高危漏洞实例
2023年3月高危漏洞共861个,其中重要漏洞实例如表6所示。

表62023年3月高危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

ByWater   Solutions

CNNVD-202303-333

PrestaShop
   SQL注入漏洞
   (CNNVD-202303-369)


Centreon

CNNVD-202303-2551


CNNVD-202303-2552


CNNVD-202303-2554


CNNVD-202303-2555


CNNVD-202303-2556


CNNVD-202303-2560


Devolutions

CNNVD-202303-043


Faveo

CNNVD-202303-1959


IBM

CNNVD-202303-1578


Ivanti

CNNVD-202303-2608


Moodle

CNNVD-202303-1621


Pimcore

CNNVD-202303-1341


CNNVD-202303-1680


CNNVD-202303-1810


PrestaShop

CNNVD-202303-369


CNNVD-202303-1000


Siemens

CNNVD-202303-994


WordPress基金会

CNNVD-202303-896


CNNVD-202303-1233


CNNVD-202303-1504


CNNVD-202303-1506


CNNVD-202303-1507


CNNVD-202303-1776


CNNVD-202303-1788


CNNVD-202303-1789


CNNVD-202303-1797


CNNVD-202303-2217


个人开发者

CNNVD-202303-359


CNNVD-202303-406


CNNVD-202303-638


CNNVD-202303-865


CNNVD-202303-868


CNNVD-202303-869


CNNVD-202303-1212


CNNVD-202303-1236


CNNVD-202303-1238


CNNVD-202303-1242


CNNVD-202303-1243


CNNVD-202303-1244


CNNVD-202303-1409


CNNVD-202303-1475


CNNVD-202303-1570


CNNVD-202303-1851


CNNVD-202303-1918


CNNVD-202303-1928


CNNVD-202303-1936


CNNVD-202303-2451


卓卓网络

CNNVD-202303-1327


CNNVD-202303-1328


恒基科技

CNNVD-202303-2168


西安众邦网络

CNNVD-202303-200


CNNVD-202303-486


齐博软件

CNNVD-202303-1332


代码问题

Adobe

CNNVD-202303-1186

Apache   InLong
   代码问题漏洞
   (CNNVD-202303-2185)


Apache基金会

CNNVD-202303-736


CNNVD-202303-2185


CNNVD-202303-2427


Appneta

CNNVD-202303-1320


CNNVD-202303-1321


CNNVD-202303-1322


CNNVD-202303-1323


Cisco

CNNVD-202303-044


Dassault   Systèmes

CNNVD-202303-692


Discourse

CNNVD-202303-1424


CNNVD-202303-1440


Flexense

CNNVD-202303-851


Google

CNNVD-202303-530


CNNVD-202303-2112


CNNVD-202303-2114


CNNVD-202303-2115


CNNVD-202303-2118


CNNVD-202303-2123


CNNVD-202303-2125


CNNVD-202303-2127


IBM

CNNVD-202303-1637


Infoline

CNNVD-202303-2678


Jellyfin

CNNVD-202303-740


Jenkins

CNNVD-202303-1647


Kozea

CNNVD-202303-1534


Linux基金会

CNNVD-202303-1291


NETGEAR

CNNVD-202303-1285


OPC   Labs

CNNVD-202303-2618


SAP

CNNVD-202303-960


CNNVD-202303-967


CNNVD-202303-969


SRA   OSS

CNNVD-202303-427


Schneider   Electric

CNNVD-202303-1553


ShopeX

CNNVD-202303-396


CNNVD-202303-398


Simple   Art Gallery

CNNVD-202303-1249


Sitecore

CNNVD-202303-1098


UpThemes

CNNVD-202303-469


UwAmp

CNNVD-202303-1339


Veritas   Technologies

CNNVD-202303-1831


WordPress基金会

CNNVD-202303-356


CNNVD-202303-442


CNNVD-202303-900


XWiki

CNNVD-202303-505


iFAX

CNNVD-202303-767


rami.io

CNNVD-202303-402


vantage6

CNNVD-202303-282


个人开发者

CNNVD-202303-225


CNNVD-202303-239


CNNVD-202303-607


CNNVD-202303-654


CNNVD-202303-731


CNNVD-202303-1375


CNNVD-202303-1567


CNNVD-202303-1674


CNNVD-202303-1921


CNNVD-202303-2203


信呼

CNNVD-202303-1481


台达电子

CNNVD-202303-2181


CNNVD-202303-2193


极致网络科技

CNNVD-202303-1215


梅州市青云客网络科技

CNNVD-202303-1407


贵州觅信科技

CNNVD-202303-832


授权问题

ABB

CNNVD-202303-154

ABB   Symphony Plus S+ Operations
   授权问题漏洞
   (CNNVD-202303-154)


Akuvox

CNNVD-202303-814


Cisco

CNNVD-202303-215


Google

CNNVD-202303-415


Ivanti

CNNVD-202303-771


Next.js

CNNVD-202303-696


SAP

CNNVD-202303-1022


个人开发者

CNNVD-202303-983


CNNVD-202303-1429


友讯

CNNVD-202303-2540


麒麟软件

CNNVD-202303-206


操作系统命令注入

Barracuda   Networks

CNNVD-202303-233

NETGEAR   RBR750
   操作系统命令注入漏洞
   (CNNVD-202303-1595)


CoreDial

CNNVD-202303-640


Fortinet

CNNVD-202303-496


GNU

CNNVD-202303-681


CNNVD-202303-1468


NETGEAR

CNNVD-202303-1595


SAP

CNNVD-202303-973


pyMedusa

CNNVD-202303-2260


个人开发者

CNNVD-202303-279


友讯

CNNVD-202303-2508


CNNVD-202303-2510


CNNVD-202303-2511


CNNVD-202303-2513


CNNVD-202303-2514


CNNVD-202303-2516


CNNVD-202303-2557


恒基科技

CNNVD-202303-2169


CNNVD-202303-2183


麒麟

CNNVD-202303-637


缓冲区错误

Adobe

CNNVD-202303-1127

GNU   LibreDWG
   缓冲区错误漏洞
   (CNNVD-202303-071)


CNNVD-202303-1129


CNNVD-202303-1136


CNNVD-202303-1137


CNNVD-202303-1138


CNNVD-202303-1139


CNNVD-202303-1140


CNNVD-202303-1142


CNNVD-202303-1144


CNNVD-202303-1145


CNNVD-202303-1148


CNNVD-202303-1151


CNNVD-202303-1152


CNNVD-202303-1153


CNNVD-202303-1154


CNNVD-202303-1155


CNNVD-202303-1157


CNNVD-202303-1158


CNNVD-202303-1159


CNNVD-202303-1160


CNNVD-202303-1161


CNNVD-202303-1162


CNNVD-202303-1163


CNNVD-202303-1164


CNNVD-202303-1167


CNNVD-202303-1168


CNNVD-202303-1187


CNNVD-202303-1189


CNNVD-202303-1192


CNNVD-202303-1195


CNNVD-202303-1272


Cisco

CNNVD-202303-216


CNNVD-202303-666


Corel

CNNVD-202303-2538


CNNVD-202303-2539


CNNVD-202303-2541


CNNVD-202303-2543


GFI

CNNVD-202303-1276


GNU

CNNVD-202303-071


Google

CNNVD-202303-422


CNNVD-202303-430


CNNVD-202303-487


CNNVD-202303-488


CNNVD-202303-513


CNNVD-202303-526


CNNVD-202303-532


CNNVD-202303-535


CNNVD-202303-545


CNNVD-202303-1601


CNNVD-202303-1980


CNNVD-202303-1981


CNNVD-202303-1982


CNNVD-202303-1994


CNNVD-202303-2006


CNNVD-202303-2010


CNNVD-202303-2048


CNNVD-202303-2065


CNNVD-202303-2074


CNNVD-202303-2117


CNNVD-202303-2128


CNNVD-202303-2129


IOBit

CNNVD-202303-2160


JTEKT

CNNVD-202303-320


CNNVD-202303-328


Live2D

CNNVD-202303-240


MikroTik

CNNVD-202303-2195


OpenImageIO

CNNVD-202303-2683


Qualcomm

CNNVD-202303-819


Rizin

CNNVD-202303-1094


CNNVD-202303-2086


Rockwell   Automation

CNNVD-202303-1644


Siemens

CNNVD-202303-979


CNNVD-202303-981


CNNVD-202303-984


CNNVD-202303-1002


CNNVD-202303-1009


CNNVD-202303-1012


CNNVD-202303-1080


CNNVD-202303-1088


CNNVD-202303-1089


SoftMaker

CNNVD-202303-1933


SonicWALL

CNNVD-202303-193


Tracker   Software

CNNVD-202303-2578


CNNVD-202303-2580


CNNVD-202303-2582


CNNVD-202303-2584


CNNVD-202303-2586


CNNVD-202303-2587


CNNVD-202303-2588


CNNVD-202303-2589


CNNVD-202303-2594


CNNVD-202303-2595


CNNVD-202303-2596


CNNVD-202303-2598


CNNVD-202303-2599


CNNVD-202303-2601


CNNVD-202303-2619


UPX

CNNVD-202303-2075


CNNVD-202303-2076


CNNVD-202303-2077


CNNVD-202303-2079


CNNVD-202303-2080


CNNVD-202303-2083


CNNVD-202303-2085


WebAssembly

CNNVD-202303-721


XWiki

CNNVD-202303-187


Zoom

CNNVD-202303-1356


CNNVD-202303-1359


个人开发者

CNNVD-202303-075


CNNVD-202303-221


CNNVD-202303-1227


CNNVD-202303-1230


CNNVD-202303-1955


CNNVD-202303-2254


北京奇虎科技有限公司

CNNVD-202303-1865


友讯

CNNVD-202303-891


CNNVD-202303-1304


江民

CNNVD-202303-2130


福昕

CNNVD-202303-2563


CNNVD-202303-2570


腾达

CNNVD-202303-2087


访问控制错误

Apache基金会

CNNVD-202303-2420

Schneider   Electric IGSS Data Server
   访问控制错误漏洞
   (CNNVD-202303-1556)


Lespeed   Technology

CNNVD-202303-1461


CNNVD-202303-1467


Schneider   Electric

CNNVD-202303-1556


Veeam

CNNVD-202303-765


Watchdog

CNNVD-202303-1400


XWiki

CNNVD-202303-181


恒基科技

CNNVD-202303-2175


资源管理错误

ARM

CNNVD-202303-357

ZOHO   ManageEngine ServiceDesk Plus
   资源管理错误漏洞
   (CNNVD-202303-374)


CNNVD-202303-639


Adobe

CNNVD-202303-1131


CNNVD-202303-1146


CNNVD-202303-1147


CNNVD-202303-1150


CNNVD-202303-1165


CNNVD-202303-1166


CNNVD-202303-1193


CNNVD-202303-1216


Cambridge

CNNVD-202303-1572


Fortinet

CNNVD-202303-489


Google

CNNVD-202303-474


CNNVD-202303-537


CNNVD-202303-539


CNNVD-202303-540


CNNVD-202303-544


CNNVD-202303-1600


CNNVD-202303-1602


CNNVD-202303-1604


CNNVD-202303-1605


CNNVD-202303-1608


CNNVD-202303-2004


CNNVD-202303-2111


JTEKT

CNNVD-202303-329


Linux基金会

CNNVD-202303-175


CNNVD-202303-659


CNNVD-202303-1744


CNNVD-202303-1915


CNNVD-202303-2640


Qualcomm

CNNVD-202303-824


Tesla

CNNVD-202303-2553


Tracker   Software

CNNVD-202303-2577


CNNVD-202303-2593


ZOHO

CNNVD-202303-374


个人开发者

CNNVD-202303-699


CNNVD-202303-1396


CNNVD-202303-1402


CNNVD-202303-1907


CNNVD-202303-2207


开放原子开源基金会

CNNVD-202303-734


福昕

CNNVD-202303-2509


CNNVD-202303-2517


CNNVD-202303-2518


CNNVD-202303-2519


CNNVD-202303-2559


CNNVD-202303-2561


CNNVD-202303-2562


CNNVD-202303-2565


CNNVD-202303-2566


CNNVD-202303-2567


CNNVD-202303-2573


输入验证错误

Adobe

CNNVD-202303-1128

IBM   Financial Transaction Manager
   输入验证错误漏洞
   (CNNVD-202303-834)


CNNVD-202303-1132


CNNVD-202303-1133


CNNVD-202303-1149


CNNVD-202303-1156


CNNVD-202303-1190


CNNVD-202303-1202


Canon

CNNVD-202303-2548


Cisco

CNNVD-202303-1891


Google

CNNVD-202303-412


CNNVD-202303-425


CNNVD-202303-519


CNNVD-202303-2056


CNNVD-202303-2121


CNNVD-202303-2126


IBM

CNNVD-202303-005


CNNVD-202303-834


CNNVD-202303-1676


OpenSIPS

CNNVD-202303-1262


CNNVD-202303-1274


CNNVD-202303-1278


CNNVD-202303-1282


CNNVD-202303-1283


CNNVD-202303-1284


CNNVD-202303-1286


CNNVD-202303-1287


Qualcomm

CNNVD-202303-808


Schneider   Electric

CNNVD-202303-1568



1、PrestaShop SQL注入漏洞(CNNVD-202303-369)

PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。

PrestaShop Xen Forum 2.13.0之前版本存在安全漏洞。攻击者利用该漏洞执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://addons.prestashop.com/en/blog-forum-new/19299-xen-forum.html

2、Apache InLong 代码问题漏洞(CNNVD-202303-2185)

Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。

Apache Software Foundation Apache InLong 1.1.0版本至1.5.0版本存在代码问题漏洞,该漏洞源于不可信数据反序列化。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/xbvtjw9bwzgbo9fp1by8o3p49nf59xzt

3、ABB Symphony Plus S+ Operations 授权问题漏洞(CNNVD-202303-154)

ABB Symphony Plus S+ Operations是ABB公司的一个分散控制系统。

ABB Symphony Plus S+ Operations存在授权问题漏洞,该漏洞源于存在不正确身份验证,以下产品和版本受到影响:Symphony Plus S+ Operations 2.1 SP2 之前版本、 2.2版本、 3.3 SP1之前版本、 3.3 SP2版本.。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://search.abb.com/library/Download.aspx?DocumentID=7PAA006722&LanguageCode=en&DocumentPartId=&Action=Launch

4、NETGEAR RBR750 操作系统命令注入漏洞(CNNVD-202303-1595)

NETGEAR RBR750是美国网件(NETGEAR)公司的一套家庭WiFi系统。

NETGEAR RBR750 4.6.8.5版本存在操作系统命令注入漏洞,该漏洞源于在访问控制功能中存在命令执行漏洞。攻击者可利用该漏洞构造HTTP请求来触发任意命令执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.netgear.com/support/product/RBR750

5、GNU LibreDWG 缓冲区错误漏洞(CNNVD-202303-071)

GNU LibreDWG是美国GNU社区的一个用于处理DWG文件的C语言库。

GNU LibreDWG v0.12.5版本存在安全漏洞,该漏洞源于bits.c 中的 bit_read_RC 函数存在基于堆的缓冲区溢出。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://github.com/LibreDWG/libredwg

6、Schneider Electric IGSS Data Server 访问控制错误漏洞(CNNVD-202303-1556)

Schneider Electric IGSS Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形 Scada 系统的数据服务器。

Schneider Electric IGSS Data Server(IGSSdataServer.exe) V16.0.0.23040版本及之前版本、IGSS Dashboard(DashBoard.exe) V16.0.0.23040版本及之前版本、Custom Reports(RMS16.dll) V16.0.0.23040版本及之前版本存在访问控制错误漏洞,该漏洞源于缺少关键功能身份的验证。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://igss.schneider-electric.com/

7、ZOHO ManageEngine ServiceDesk Plus 资源管理错误漏洞(CNNVD-202303-374)

ZOHO ManageEngine ServiceDesk Plus(SDP)是美国卓豪(ZOHO)公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。

ZOHO ManageEngine ServiceDesk Plus 14104版本及之前版本、Asset Explorer 6987版本及之前版本、ServiceDesk Plus MSP 14000之前版本、Support Center Plus 14000之前版本存在安全漏洞.攻击者利用该漏洞导致系统拒绝服务。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.manageengine.com/products/service-desk/CVE-2023-26601.html

8、IBM Financial Transaction Manager 输入验证错误漏洞(CNNVD-202303-834)

IBM Financial Transaction Manager是美国国际商业机器(IBM)公司的一款金融事务管理器。该产品主要用于监控、跟踪和报告金融支付和交易。

IBM Financial Transaction Manager 3.2.0 到 3.2.10版本存在安全漏洞,该漏洞源于该系统验证不当,攻击者利用该漏洞可以执行未经授权的操作。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ibm.com/support/pages/node/6958504
二、漏洞平台推送情况
2023年3月漏洞平台推送漏洞76054个。

表72023年3月漏洞平台推送情况表


序号

漏洞平台

漏洞总量


1

补天平台

17611


2

漏洞盒子

53950


3

360漏洞云

4493


推送总计

76054

三、接报漏洞情况
2023年3月接报漏洞1898个,其中信息技术产品漏洞(通用型漏洞)693个,网络信息系统漏洞(事件型漏洞)1205个。


序号

报送单位

漏洞数量


1            

北京山石网科信息技术有限公司

547


2            

北京众安天下科技有限公司

175


3            

北京华云安信息技术有限公司

105


4            

个人

97


5            

安徽华云安科技有限公司

59


6            

中瑞创信息技术(北京)有限公司

54


7            

星云博创科技有限公司

40


8            

广州锦行网络科技有限公司

40


9            

中孚安全技术有限公司

34


10      

内蒙古思沃科技有限公司

31


11      

北京门石信息技术有限公司

29


12      

杭州海康威视数字技术股份有限公司

28


13      

北京中睿天下信息技术有限公司

27


14      

上海斗象信息科技有限公司

25


15      

杭州安恒信息技术股份有限公司

25


16      

北京启明星辰信息安全技术有限公司

25


17      

杭州美创科技股份有限公司

24


18      

重庆都会信息科技有限公司

22


19      

博智安全科技股份有限公司

22


20      

北京江南天安科技有限公司

22


21      

深圳市腾讯计算机系统有限公司

19


22      

北京网御星云信息技术有限公司

19


23      

北京安胜华信科技有限公司

17


24      

上海上讯信息技术股份有限公司

16


25      

北京信联数安科技有限公司

14


26      

北京边界无限科技有限公司

14


27      

中电信数智科技有限公司

13


28      

长扬科技(北京)股份有限公司

13


29      

北京五一嘉峪科技有限公司

13


30      

快页信息技术有限公司

12


31      

国网湖北省电力有限公司电力科学研究院

11


32      

北京永信至诚科技股份有限公司

11


33      

北京赛博昆仑科技有限公司

10


34      

天津市兴先道科技有限公司

9


35      

锐捷网络股份有限公司

9


36      

北京神州绿盟科技有限公司

9


37      

沈阳东软系统集成工程有限公司

8


38      

山东云天安全技术有限公司

8


39      

任子行网络技术股份有限公司

8


40      

广州竞远安全技术股份有限公司

8


41      

烽台科技(北京)有限公司

8


42      

中国电信股份有限公司网络安全产品运营中心

7


43      

内蒙古云科数据服务股份有限公司

7


44      

贵州泰若数字科技有限公司

7


45      

贵州数创控股(集团)有限公司

7


46      

北京长亭科技有限公司

7


47      

安徽三实软件科技有限公司

7


48      

西安四叶草信息技术有限公司

6


49      

上海谋乐网络科技有限公司

6


50      

上海安识网络科技有限公司

6


51      

江苏金盾检测技术股份有限公司

6


52      

北京容辉智信科技有限公司

6


53      

北京安天网络安全技术有限公司

6


54      

重庆梦之想科技有限责任公司

5


55      

天翼数智科技(北京)有限公司

5


56      

深圳市魔方安全科技有限公司

5


57      

赛尔网络有限公司

5


58      

湖南浩基信息技术有限公司

5


59      

杭州中电安科现代科技有限公司

5


60      

北京威努特技术有限公司

5


61      

新华三技术有限公司

4


62      

杭州默安科技有限公司

4


63      

北京中测安华科技有限公司

4


64      

北京智游网安科技有限公司

4


65      

北京圣博润高新技术股份有限公司

4


66      

北京奇虎科技有限公司

4


67      

智网安云(武汉)信息技术有限公司

3


68      

郑州云智信安安全技术有限公司

3


69      

证通股份有限公司

3


70      

浙江宇视科技有限公司

3


71      

卫士通(广州)信息安全技术有限公司

3


72      

厦门捷诺通信息技术股份有限公司

3


73      

厦门安胜网络科技有限公司

3


74      

南京赛宁信息技术有限公司

3


75      

江苏通付盾科技有限公司

3


76      

河南听潮盛世信息技术有限公司

3


77      

广州非凡信息安全技术有限公司

3


78      

北京华胜久安科技有限公司

3


79      

北京安盟信息技术股份有限公司

3


80      

中兴通讯股份有限公司

2


81      

郑州埃文计算机科技有限公司

2


82      

长春嘉诚信息技术股份有限公司

2


83      

山东鼎夏智能科技有限公司

2


84      

三六零数字安全科技集团有限公司

2


85      

湖南匡安网络技术有限公司

2


86      

黑龙江安信与诚科技开发有限公司

2


87      

广州天畅信息技术有限公司

2


88      

北京源堡科技有限公司

2


89      

北京微步在线科技有限公司

2


90      

北京华顺信安信息技术有限公司

2


91      

北京安帝科技有限公司

2


92      

安全邦(北京)信息技术有限公司

2


93      

浙江大学307Lab

1


94      

上海腾蒙信息科技有限公司

1


95      

南京众智维信息科技有限公司

1


96      

南方电网数字电网集团信息通信科技有限公司

1


97      

浪潮云信息技术股份公司

1


98      

恒安嘉新(北京)科技股份公司

1


99      

河南天祺信息安全技术有限公司

1


100

广西百色英晖科技有限公司

1


101

广东为辰信息科技有限公司

1


102

工业和信息化部电子第五研究所

1


103

北京云科安信科技有限公司

1


104

北京网藤科技有限公司

1


105

北京时代新威信息技术有限公司

1


106

北京六方云信息技术有限公司

1


107

北京聚信得仁科技有限公司

1


108

北京京东尚科信息技术有限公司

1


报送合计

1898



表82023年3月接报漏洞情况表

四、重大漏洞通报Apache OpenOffice参数注入漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952/CVE-2022-47502)情况的报送。成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前,Apache官方已经发布了漏洞修复补丁,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于Apache OpenOffice 文档内可通过含有任意参数的链接调用内部宏,恶意攻击者通过修改特殊URI Scheme构造恶意链接调用宏,当用户点击链接或通过自动文档事件激活时,会导致覆盖掉文档中现有宏的代码,从而执行任意代码。

. 危害影响

成功利用漏洞的攻击者,可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。

. 修复建议

目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方下载链接:

https://www.openoffice.org/download/


页: [1]
查看完整版本: 信息安全漏洞月报2023年3月