企业安全-华云安漏洞安全周报【第153期】

根据，本周（2023.09.18~2023.09.24）CNNVD接报漏洞380个，其中信息技术产品漏洞（通用型漏洞）163个，网络信息系统漏洞（事件型漏洞）217个，其中华云安报送54份；CNNVD收录漏洞通报116份！其中华云安报送1份！

本周重点关注漏洞包括：CVE-2023-5009 GitLab 越权调用漏洞、CVE-2023-42464 代码执行漏洞、CVE-2023-42810 systeminformation 命令注入漏洞、CVE-2023-42793 JetBrains TeamCity 代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-5009 GitLab 越权调用漏洞

威胁等级：超危

漏洞描述：

2023年09月20日，华云安思境安全团队监测到 GitLab 官方发布安全通告，披露了 GitLab Enterprise Edition 13.12版本至16.2.7之前版本、16.3版本至16.3.4之前版本存在安全漏洞。GitLab Enterprise Edition 是一款开源的自托管Git项目代码仓库进行管理系统，为代码托管、项目协作、CI/CD提供了集成化的平台。未经身份验证的攻击者利用 该漏洞以任意用户身份运行管道作业。

情报来源：

   

02 CVE-2023-42464 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年09月21日，华云安思境安全团队监测发现 Debian官方发布安全更新，披露了 Netatalk 3.1.x版本至3.1.17之前版本存在代码执行漏洞。Netatalk是一款开源软件，为 Classic Mac OS 和 macOS 在 Unix-like OS 上提供 AFP 文件服务器功能。未经身份验证的攻击者利用此漏洞可以远程执行代码。

情报来源：

   

03 CVE-2023-42810 systeminformation 命令注入漏洞

威胁等级：超危

漏洞描述：

2023年09月22日，华云安思境安全团队监测 SystemInformation 官方发布了安全通告，披露了 systeminformation 5.0.0至5.21.6版本存在命令注入漏洞。SystemInformation 是 一个可以获得操作系统信息的 Npm 软件库。未经身份验证的攻击者可能利用该漏洞执行命令注入。

情报来源：

 

04 CVE-2023-42793 JetBrains TeamCity 代码执行漏洞

威胁等级：超危

漏洞描述：

2023年09月23日，华云安思境安全团队监测发现 JetBrains TeamCity 官方发布安全通告，披露了 JetBrains TeamCity 2023.05.4 之前版本存在。JetBrains TeamCity 是一款功能强大的持续集成（Continue Integration）工具，包括服务器端和客户端，目前支持Java、.Net 等项目开发。未经身份验证的攻击者利用该漏洞可能绕过身份验证，导致在 TeamCity 服务器上远程执行代码 。

情报来源：

   

 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。