华云安漏洞安全周报【第150期】

根据，本周（2023.08.28~2023.09.03）CNNVD接报漏洞157个，其中信息技术产品漏洞（通用型漏洞）137个，网络信息系统漏洞（事件型漏洞）20个，其中华云安报送3个；CNNVD收录漏洞通报89份，其中华云安报送4份！

本周重点关注漏洞包括：CVE-2023-34039 VMware Aria Operations 加密问题漏洞、CVE-2023-32457 Dell PowerScale OneFS 权限提升漏洞、CVE-2023-35785 ZOHO ManageEngine ADManager Plus 授权问题漏洞、CVE-2023-31424 Broadcom Brocade SANnav 权限绕过漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-34039 VMware Aria Operations 加密问题漏洞

威胁等级：超危

漏洞描述：

2023年08月29日，华云安思境安全团队监测 VMware 官方发布了安全通告，披露了 VMware Aria Operations for Networks存在加密问题漏洞。VMware Aria Operations是 VMware 公司的一个统一人工智能驱动的自动驾驶 IT 运营管理平台，适用于私有云、混合云和多云环境。未经身份验证的攻击者可能利用此漏洞可以绕过 SSH 身份验证来访问 Aria Operations for Networks CLI。

情报来源：

02 CVE-2023-32457 Dell PowerScale OneFS 权限提升漏洞

威胁等级：高危

漏洞描述：

2023年08月29日，华云安思境安全团队监测发现 Dell 官方发布安全通告，披露了 Dell PowerScale OneFS 8.2.2.x-9.5.0.x版本存在权限升级漏洞。Dell PowerScale OneFS 是 Dell 公司的一个提供横向扩展NAS的PowerScale OneFS 操作系统 。未经身份验证的攻击者利用该漏洞可能导致权限提升。

情报来源：

03 CVE-2023-35785 ZOHO ManageEngine ADManager Plus 授权问题漏洞

威胁等级：超危

漏洞描述：

2023年08月30日，华云安思境安全团队监测到 ManageEngine 官方发布安全通告，披露了 ZOHO ManageEngine ADManager Plus 7186及之前版本存在授权问题漏洞。ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用 Windows 域的企业用户设计的微软活动目录管理软件。未经身份验证的攻击者利用该漏洞可能通过 2FA 绕过身份验证。

情报来源：

04 CVE-2023-31424 Broadcom Brocade SANnav 权限绕过漏洞

威胁等级：高危

漏洞描述：

2023年09月1日，华云安思境安全团队监测发现 Broadcom 官网发布安全更新，披露了 Brocade SANnav v2.3.0和v2.2.2a之前版本存在权限绕过漏洞。Broadcom Brocade SANnav是Broadcom 的一套 SAN 管理平台。未经身份验证的攻击者利用此漏洞可能绕过 Web 身份验证和授权。

情报来源：

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。