根据本周(2023.06.12~2023.06.18)CNNVD接报漏洞218个,其中信息技术产品漏洞(通用型漏洞)148个,网络信息系统漏洞(事件型漏洞)70个,CNNVD收录漏洞通报111份。
本周重点关注漏洞包括:CVE-2023-34468 Apache NiFi 代码注入漏洞、2023-06 补丁日 Microsoft 多个漏洞安全更新通告、CVE-2023-35141 Jenkins 跨站请求伪造漏洞、CVE-2023-34362 Progress MOVEit Transfer SQL注入漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01 CVE-2023-34468 Apache NiFi 代码注入漏洞
威胁等级:高危
漏洞描述:
2023年06月12日,华云安思境安全团队监测到 Apache 官方发布安全通告,披露了 Apache NiFi 0.0.2 版本至1.21.0 版本存在代码注入漏洞。Apache NiFi 是一套可靠的数据处理和分发系统,支持高度可配置的指示图的数据路由、转换和系统中介逻辑。未经身份验证的攻击者利用该漏洞,可能在受影响的设备上执行任意代码,获取服务器权限。
情报来源:
02 Microsoft 6月份多个安全漏洞
威胁等级:超危
漏洞描述:
2023年06月14日,华云安思境安全团队监测到 Microsoft 官方发布安全更新,此次安全更新发布了73个漏洞补丁。主要覆盖了以下组件:主要覆盖了以下组件:Microsoft Windows and Windows Components; Office and Office Components; Exchange Server; Microsoft Edge (Chromium-based); SharePoint Server; .NET and Visual Studio; Microsoft Teams; Azure DevOps; Microsoft Dynamics; and the Remote Desktop Client等。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
情报来源:
03 CVE-2023-35141 Jenkins 跨站请求伪造漏洞
威胁等级:高危
漏洞描述:
2023年06月14日,华云安思境安全团队监测到Jenkins官方发布了安全通告,披露了Jenkins2.399 版本及之前版本、LTS 2.387.3 版本及之前版本存在跨站请求伪造漏洞。Jenkins 是一个开源软件项目,是基于 Java 开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。未经身份验证的攻击者利用该漏洞,通过打开菜单向非预期端点发送 POST 请求,利用用户对该网站的信任来获取用户数据。
情报来源:
04 CVE-2023-34362 Progress MOVEit Transfer SQL 注入漏洞
威胁等级:超危
漏洞描述:
2023年06月16日,华云安思境安全团队监测到 Progress 官方发布了安全通告,披露了 Progress MOVEit Transfer 2021.0.x版本:< 2021.0.6 (13.0.6)、Progress MOVEit Transfer 2021.1.x版本:< 2021.1.4 (13.1.4)、Progress MOVEit Transfer 2022.0.x版本:< 2022.0.4 (14.0.4)、Progress MOVEit Transfer 2022.1.x版本:< 2022.1.5 (14.1.5)、Progress MOVEit Transfer 2023.0.x版本:< 2023.0.1 (15.0.1)、Progress MOVEit Transfer 2020.1.x版本、Progress MOVEit Transfer 2020.0.x及之前版本存在SQL注入漏洞。Progress MOVEit Transfer 是一款企业级文件传输软件,旨在帮助组织安全地传输敏感数据和文件。它提供了一系列功能,包括自动化文件传输、加密、身份验证、审计和监控等,以确保数据传输的安全性和可靠性。未经身份验证的攻击者利用该漏洞,可能在受影响的设备上构造恶意数据执行 SQL 注入攻击,获取服务器敏感信息。
情报来源:
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
更多【华云安漏洞安全周报【第139期】】相关视频教程:www.yxfzedu.com