华云安漏洞安全周报【第141期】

根据，本周（2023.06.26~2023.07.02）CNNVD接报漏洞359个，其中信息技术产品漏洞（通用型漏洞）129个，网络信息系统漏洞（事件型漏洞）230个；CNNVD收录漏洞通报68份。其中华云安报送漏洞2个。

本周重点关注漏洞包括：CVE-2023-36632 Python 拒绝服务漏洞、CVE-2023-22886 Apache Airflow 输入验证错误漏洞、CVE-2023-3354 Redhat Qemu-Kvm 拒绝服务漏洞、CVE-2023-28424 Gentoo Soko SQL 注入漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-36632 Python 拒绝服务漏洞

威胁等级：高危
漏洞描述：
2023年06月25日，华云安思境安全团队监测发现 Python 官方发布安全通告，披露了 Python <= 3.11.4 版本存在拒绝服务漏洞。Python 是一种具有动态语义的、解释型的、面向对象的、通用的、开源的脚本编程语言，主要用于Web和应用程序开发。未经身份验证的攻击者通过精心设计的参数触发该漏洞，可能导致拒绝服务。
情报来源：

02 CVE-2023-22886 Apache Airflow 输入验证错误漏洞

威胁等级：高危

漏洞描述：

2023年06月26日，华云安思境安全团队监测到 Apache 官方发布了安全通告，披露了 Apache Airflow JDBC Provider 4.0.0 之前版本存在输入验证错误漏洞。Apache Airflow 是一个开源的工作流程自动化和调度平台，可以帮助开发人员和数据工程师在数据处理和 ETL 任务中创建、调度和监控工作流程。该漏洞如果配置不当，可能会被攻击者利用执行远程代码。

情报来源：

03 CVE-2023-3354 Redhat Qemu-Kvm 拒绝服务漏洞

威胁等级：高危

漏洞描述：

2023年06月28日，华云安思境安全团队监测到 Redhat 官方发布安全通告，披露了 qemu-kvm 存在拒绝服务漏洞。Qemu-Kvm 是一种开源的虚拟化技术。该漏洞如果配置不当，可能会导致拒绝服务（DoS）。

情报来源：

04 CVE-2023-28424 Gentoo Soko SQL 注入漏洞

威胁等级：高危

漏洞描述：

2023年06月29日，华云安思境安全团队监测到 Gentoo 官方发布了安全通告，披露了 Soko 版本 1.0.3 之前版本存在 SQL 注入漏洞。Soko 是一个用于 Gentoo Linux 发行版的 Go 软件模块，为用户提供了一种简单的方法来搜索可用于 Gentoo Linux 发行版的不同 Portage 软件包。未经身份验证的攻击者可能利用该漏洞执行恶意 SQL 语句获取敏感信息。

情报来源：

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。