根据国家信息安全漏洞库(CNNVD)统计,本周(2023.02.13~2023.02.19)CNNVD接报漏洞276个,其中信息技术产品漏洞(通用型漏洞)140个,网络信息系统漏洞(事件型漏洞)136个,CNNVD接报漏洞预警102份。
本周重点关注漏洞包括:CVE-2023-0568 PHP 安全漏洞、CVE-2023-25761 Jenkins Plugin JUnit 跨站脚本漏洞、CVE-2022-42735 Apache ShenYu 安全漏洞、CVE-2022-47986 IBM Aspera Faspex 代码问题漏洞。漏洞影响范围较广,华云安建议相关用户做好资产自查与预防工作。
01
CVE-2023-0568 PHP 安全漏洞
威胁等级:高危
漏洞描述:
2023年02月13日,华云安思境安全团队发现 PHP 官网发布了安全更新,披露了 PHP 8.0.28之前的8.0.X版本、8.1.16之前的8.1.X版本和8.2.3之前的8.2.X版本存在安全漏洞。php是一种通用开源脚本语言,只需要很少的编程知识能使用PHP建立一个真正交互的WEB站点。未经身份验证的攻击者可利用该漏洞获取未经授权的数据访问。
情报来源:
https://bugs.php.net/bug.php?id=81746
02
CVE-2023-25761 Jenkins Plugin JUnit 跨站脚本漏洞
威胁等级:高危
漏洞描述:
2023年02月15日,华云安思境安全团队发现 Jenkins 官网发布了安全更新,披露了Jenkins Plugin JUnit 1166.va_436e268e972及之前版本存在跨站脚本漏洞。Jenkins Plugin JUnit 是 Jenkins 的一个应用软件。未经身份验证的攻击者可利用该漏洞来控制插件处理的JUnit资源中的测试用例类名。
情报来源:
https://www.jenkins.io/security/advisory/2023-02-15/#SECURITY-3032
03
CVE-2022-42735 Apache ShenYu 安全漏洞
威胁等级:高危
漏洞描述:
2023年02月15日,华云安思境安全团队发现 Apache 官网发布了安全更新,披露了Apache ShenYu 2.5.1之前版本存在安全漏洞。Apache ShenYu 是 Apache 采用 JavaWebFlux 编写的具有异步、高性能、跨语言的特点的响应式API网关。未经身份验证的攻击者可利用该漏洞使用低级别管理员创建具有比自己更高权限的用户。
情报来源:
https://lists.apache.org/thread/2k8764jmckmc19qc8x51nlnngq71pcf7
04
CVE-2022-47986 IBM Aspera Faspex 代码问题漏洞
威胁等级:超危
漏洞描述:
2022年02月17日,华云安思境安全团队发现 IBM 官方网站发布了安全更新,披露了 IBM Aspera Faspex 4.4.2 Patch Level 1版本及之前版本存在代码问题漏洞。Aspera 是 IBM 公司的一款具有远距离高速传输大数据的高速传输软件。未经身份验证的攻击者可利用该漏洞在系统上执行任意代码。
情报来源:
https://www.ibm.com/support/pages/node/6952319
华云安
华云安是一家深耕于网络空间安全领域的高新技术企业,专注于漏洞研究、攻防对抗、产品研发、安全服务;致力于对主动防御、情报协同、溯源反制能力进行融合创新,以攻击者视角构建攻击面管理安全能力平台,提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。
公司持续构建的原子化安全能力平台,秉承数据驱动、AI引领的理念,通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术,结合不同的业务需求灵活组合安全能力,实现一个平台覆盖所有安全能力。
进入“华云安漏洞情报平台”查阅详情