文章來源:國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT公眾號
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中����。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞229個�,其中高危漏洞106個、中危漏洞114個���、低危漏洞9個��。漏洞平均分值為6.59��。本周收錄的漏洞中��,涉及0day漏洞115個(占50%)���,其中互聯(lián)網(wǎng)上出現(xiàn)“Lead Management System SQL注入漏洞(CNVD-2023-05741)��、Courier Management System SQL注入漏洞”等零日代碼攻擊漏洞�。本周CNVD接到企事業(yè)單位等事件型漏洞總數(shù)10419個�,與上周(4853個)環(huán)比增加1.15倍。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計
本周漏洞事件處置情況
本周��,CNVD向銀行�、保險、能源等重要行業(yè)單位通報漏洞事件16起����,向基礎(chǔ)電信企業(yè)通報漏洞事件41起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件418起�����,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處高?����?蒲性核到y(tǒng)漏洞事件37起��,向上級信息安全協(xié)調(diào)機(jī)構(gòu)上報漏洞事件96起����。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計
圖4 CNCERT各分中心處置情況按周統(tǒng)計
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計
本周漏洞按類型統(tǒng)計
本周,CNVD收錄了229個漏洞���。WEB應(yīng)用95個�,應(yīng)用程序94個�����,網(wǎng)絡(luò)設(shè)備(交換機(jī)��、路由器等網(wǎng)絡(luò)端設(shè)備)23個�,操作系統(tǒng)9個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)7個����,數(shù)據(jù)庫1個。
本周行業(yè)漏洞收錄情況
本周���,CNVD收錄了17個電信行業(yè)漏洞����,10個移動互聯(lián)網(wǎng)行業(yè)漏洞,2個工控行業(yè)漏洞(如下圖所示)��。
本周重要漏洞安全告警
本周����,CNVD整理和發(fā)布以下重要安全漏洞信息。
1�、IBM產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)、IBM Sterling B2B Integrator權(quán)限提升漏洞(CNVD-2023-05239)����、IBM Sterling B2B Integrator跨站腳本漏洞(CNVD-2023-05238、CNVD-2023-05245)�����、IBM Sterling B2B Integrator信息泄露漏洞(CNVD-2023-05244�、CNVD-2023-05241)、IBM Spectrum Virtualize信息泄露漏洞���、IBM Sterling B2B Integrator Standard Edition跨站腳本漏洞(CNVD-2023-05243)�。其中,“IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)���、IBM Sterling B2B Integrator權(quán)限提升漏洞(CNVD-2023-05239)”漏洞的綜合評級為“高危”��。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序�����。CNVD提醒用戶及時下載補丁更新��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件�。
2、Adobe產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Adobe InCopy緩沖區(qū)溢出漏洞(CNVD-2023-05227�����、CNVD-2023-05231)��、Adobe InCopy越界寫入漏洞(CNVD-2023-05226����、CNVD-2023-05230)、Adobe InCopy輸入驗證錯誤漏洞、Adobe InCopy釋放后使用漏洞�、Adobe InCopy越界讀取漏洞(CNVD-2023-05234、CNVD-2023-05225)�。其中,除“Adobe InCopy越界讀取漏洞(CNVD-2023-05225���、CNVD-2023-05234)����、Adobe InCopy釋放后使用漏洞”外其余漏洞的綜合評級為“高危”��。目前���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序����。CNVD提醒用戶及時下載補丁更新��,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件��。
3��、Apache產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Apache Superset跨站腳本漏洞(CNVD-2023-05220���、CNVD-2023-05219���、CNVD-2023-05218)��、Apache Superset訪問控制錯誤漏洞(CNVD-2023-05217)����、 Apache Airflow命令注入漏洞(CNVD-2023-05224)���、Apache James信息泄露漏洞、Apache James授權(quán)問題漏洞��、Apache Calcite點擊劫持漏洞���。其中“Apache Superset跨站請求偽造漏洞���、 Apache Airflow命令注入漏洞(CNVD-2023-05224)”漏洞的綜合評級為“高危”。目前��,廠商已經(jīng)發(fā)布了上述漏洞的修補程序��。CNVD提醒用戶及時下載補丁更新�,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
4、Mozilla產(chǎn)品安全漏洞
CNVD收錄的相關(guān)漏洞包括:Mozilla Firefox安全特征問題漏洞(CNVD-2023-05205���、CNVD-2023-05206)�、Mozilla Firefox信任管理問題漏洞(CNVD-2023-05204)�����、Mozilla Firefox資源管理錯誤漏洞(CNVD-2023-05208)�����、Mozilla Firefox代碼問題漏洞(CNVD-2023-05207)�、Mozilla Firefox權(quán)限許可和訪問控制問題漏洞(CNVD-2023-05212、CNVD-2023-05211)�、Mozilla Firefox競爭條件漏洞。其中��,除“Mozilla Firefox代碼問題漏洞(CNVD-2023-05207)”外其余漏洞的綜合評級為“高危”���。目前���,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新�����,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
