企业安全-华云安漏洞安全周报【第154期】

根据，本周（2023.09.25~2023.10.01）CNNVD接报漏洞150个，其中信息技术产品漏洞（通用型漏洞）138个，网络信息系统漏洞（事件型漏洞）12个；CNNVD收录漏洞通报80份。

本周重点关注漏洞包括：CVE-2023-42818 Jumpserver 授权问题漏洞、CVE-2023-3767 EasyPHP Webserver 操作系统命令注入漏洞、CVE-2023-43654 PyTorch 代码问题漏洞、CVE-2023-43909 HMS 系统 SQL 注入漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-42818 Jumpserver 授权问题漏洞

威胁等级：超危

漏洞描述：

2023年09月27日，华云安思境安全团队监测发现 Jumpserver 官方发布了安全通告，披露了 JumpServer 存在授权问题漏洞。JumpServer 是一款开源堡垒机，是一套运维安全审计系统产品，提供身份验证、授权控制、账号管理、安全审计等功能支持。当用户使用用户名和 SSH 公钥对核心 API 进行身份验证时，无需密码或相应的 SSH 私钥。

情报来源：

02 CVE-2023-3767 EasyPHP Webserver 操作系统命令注入漏洞

威胁等级：超危

漏洞描述：

2023年09月27日，华云安思境安全团队监测发现 EasyPHP 官方发布安全通告，披露了 EasyPHP Webserver 14.1版本存在操作系统命令注入漏洞。EasyPHP Webserver 是 EasyPHP 开源的一个可以搭建开发环境的平台。未经身份验证的攻击者可能利用该漏洞通过向 /index.php?zone=settings 参数发送特制请求来获得对系统的完全访问权限。

情报来源：

03 CVE-2023-43654 PyTorch 代码问题漏洞

威胁等级：超危

漏洞描述：

2023年09月28日，华云安思境安全团队监测发现 PyTorch 官方发布安全更新，披露了 PyTorch Serve 0.1.0版本至0.8.1 版本存在代码问题漏洞。PyTorch 是一个开源机器学习 Python 库，用于深度学习实现，计算机视觉和自然语言处理等。由于缺乏输入验证，未经身份验证的攻击者可能利用该漏洞执行攻击获取敏感信息。

情报来源：

04 CVE-2023-43909 HMS 系统 SQL 注入漏洞

威胁等级：超危

漏洞描述：

2023年09月29日，华云安思境安全团队监测发现，互联网上披露了 Hospital Management System 存在 SQL 注入安全漏洞。Hospital Management System（HMS）是一种计算机系统，可以帮助管理与医疗保健相关的信息。未经身份验证的攻击者可能通过 appsearch.php 中的 app_contact 参数进行 SQL 注入。

情报来源：

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。