2023年3月需重点关注的安全漏洞梳理 | 您所在的位置:网站首页 › outlook 运行脚本 › 2023年3月需重点关注的安全漏洞梳理 |
2023/03/31 新华三盾山实验室持续跟踪各知名厂商产品、主流框架、流行组件等涉及的漏洞情况,整理出2023年3月份需重点关注的漏洞,供各企事业单位参考查阅。结合各重点漏洞影响版本以及对应官方修复补丁,请安全运维人员尽快对内部资产进行排查,并及时采取修复措施,避免遭受漏洞攻击而引起重大损失。 新华三盾山实验室依据漏洞热度、影响范围、严重程度、利用难度、漏洞细节、利用代码公开情况、在野利用情况等方面,整理出客户需要重点关注的漏洞如下: 一、VMware Workspace ONE Content密码绕过漏洞(CVE-2023-20857) 1.1 漏洞概述 VMware Vmware Workspace One是美国威睿(VMware)公司的一个用于支持跨设备应用于快速交付、管理应用程序的平台。该平台将访问控制、应用程序管理和多平台端点管理集成到一起,可高效管理多个设备。2023年3月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到VMware官方发布安全更新公告,修复了一个存在于Workspace ONE Content中的密码绕过漏洞(CVE-2023-20857)。 基于Android平台的VMware Workspace ONE Content中存在密码绕过漏洞,攻击者通过利用Android的ROOT权限绕过Workspace ONE Content密码,成功利用此漏洞可实现未授权访问和获取敏感信息。 1.2 影响版本 VMware Workspace ONE Content(Android平台)< 23.02 1.3 漏洞利用情况 漏洞情况 状态 官方补丁/安全版本 已发布 漏洞细节 未公开 POC 未公开 威胁等级 中危 影响程度 广泛 利用价值 中等 利用难度 高 漏洞评分 6.8 在野利用 未发现 1.4 修复措施 目前官方已修复该漏洞,受影响用户可以升级更新到安全版本,官方链接:https://www.vmware.com/security/advisories/VMSA-2023-0006.html 二、Node.js权限绕过漏洞(CVE-2023-23918) 2.1 漏洞概述 Node.js由Ryan Dahl开发,是一个基于Chrome V8引擎的JavaScript运行环境。Node.js提供了各种丰富的JavaScript模块库,用于搭建响应速度快、易于扩展的网络应用。2023年3月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Node.js官方发布安全更新公告,修复了一个存在于Node.js中的权限绕过漏洞(CVE-2023-23918)。 由于Node.js对权限控制不当,导致恶意攻击者可以通过使用 process.mainModule.require() 绕过Node.js权限策略并访问未授权的模块 (只影响启用--experimental-policy 实验权限的用户) 。 2.2 影响版本 Node.js < 19.6.1 Node.js < 18.14.1 Node.js < 16.19.1 Node.js < 14.21.3 2.3 漏洞利用情况 漏洞情况 状态 官方补丁/安全版本 已发布 漏洞细节 未公开 POC 未公开 威胁等级 高危 影响程度 广泛 利用价值 中等 利用难度 低 漏洞评分 7.5 在野利用 未发现 2.4 修复措施 目前官方已修复该漏洞,受影响用户可以升级更新到安全版本,官方链接:https://nodejs.org/en/download/ 三、Smartbi 远程代码执行漏洞 3.1 漏洞概述 Smartbi是思迈特软件推出的商业智能BI软件,致力于为企业客户提供一站式商业智能解决方案。具有Query(灵活查询)、Analysis(多维分析)、Report(业务报表)、Dashboard(仪表盘)、Mobile(移动终端展现平台)等五大展现模块,广泛应用于金融、大型制造业、政府、电信等多个行业。2023年3月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Smartbi官方发布了安全更新公告,修复了一个存在于Smartbi中的远程代码执行漏洞。 Smartbi大数据分析平台中存在远程代码执行漏洞,未经身份验证的恶意攻击者通过向系统发送特殊数据,成功利用此漏洞可在目标系统上执行任意代码,获取目标系统的控制权限。 3.2 影响版本 V7 |
CopyRight 2018-2019 实验室设备网 版权所有 |