企业安全-华云安漏洞安全周报【第156期】

根据国家信息安全漏洞库（CNNVD）统计，本周（2023.10.09~2023.10.15）CNNVD接报漏洞194个，其中信息技术产品漏洞（通用型漏洞）178个，网络信息系统漏洞（事件型漏洞）16个，其中华云安报送2个；CNNVD收录漏洞通报166份，其中华云安报送6份。

（https://www.cnnvd.org.cn/group1/M00/00/89/rBBlBmUvgRuAVL12AAcjbVbtTu4266.pdf）

本周重点关注漏洞包括：2023-10 补丁日 Microsoft 多个漏洞安全更新通告、CVE-2023-39332 Node.js 路径遍历漏洞、CVE-2023-45132 NAXSI WAF 绕过漏洞、CVE-2023-41373 F5 BIG-IP 路径遍历漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 2023-10 补丁日 Microsoft 多个漏洞安全更新通告

威胁等级：超危

漏洞描述：

2023年10月11日，华云安思境安全团队监测到 Microsoft 官方发布安全更新，此次安全更新发布了103个漏洞补丁，包含13个严重漏洞，90个高危漏洞。主要覆盖了以下组件：主要覆盖了以下组件：Microsoft Windows and Windows Components; Exchange Server; Office and Office Components; ASP.NET Core and Visual Studio; Azure; Microsoft Dynamics 和 Skype for Business等。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

情报来源：

   

02 CVE-2023-39332 Node.js 路径遍历漏洞

威胁等级：超危

漏洞描述：

2023年10月13日，华云安思境安全团队监测发现 Redhat 官方发布了安全通告，披露了 Node.js 20.x 版本存在路径遍历漏洞。Node.js 是一种开源、跨平台的 JavaScript 运行时环境，可在 Web 浏览器之外执行 JavaScript 代码。未经身份验证的远程攻击者可能利用此漏洞进行路径遍历。

情报来源：

 

03 CVE-2023-45132 NAXSI WAF 绕过漏洞

威胁等级：超危

漏洞描述：

2023年10月14日，华云安思境安全团队监测发现NAXSI 官方发布安全更新，披露了 NAXSI 1.3 及之前版本存在 IP 绕过漏洞。NAXSI 是 NGINX 的开源维护 Web 应用程序防火墙。未经身份验证的远程攻击者可能利用此漏洞绕过WAF IgnoreIP IgnoreCIDR。

情报来源：

     

04 CVE-2023-41373 F5 BIG-IP 路径遍历漏洞

威胁等级：超危

漏洞描述：

2023年10月14 日，华云安思境安全团队监测发现 F5官方披露了 F5 BIG-IP 配置实用程序中存在目录遍历漏洞。F5 BIG-IP 是 F5 公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。未经身份验证的攻击者可能利用该漏洞执行路径遍历跨越安全边界。

情报来源：

   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。