2023年3月需重点关注的安全漏洞梳理

新华三盾山实验室

2023/03/31

新华三盾山实验室持续跟踪各知名厂商产品、主流框架、流行组件等涉及的漏洞情况，整理出2023年3月份需重点关注的漏洞，供各企事业单位参考查阅。结合各重点漏洞影响版本以及对应官方修复补丁，请安全运维人员尽快对内部资产进行排查，并及时采取修复措施，避免遭受漏洞攻击而引起重大损失。

新华三盾山实验室依据漏洞热度、影响范围、严重程度、利用难度、漏洞细节、利用代码公开情况、在野利用情况等方面，整理出客户需要重点关注的漏洞如下：

一、VMware Workspace ONE Content密码绕过漏洞（CVE-2023-20857）

1.1 漏洞概述

VMware Vmware Workspace One是美国威睿（VMware）公司的一个用于支持跨设备应用于快速交付、管理应用程序的平台。该平台将访问控制、应用程序管理和多平台端点管理集成到一起，可高效管理多个设备。2023年3月，新华三盾山实验室在持续跟踪流行漏洞过程中监测到VMware官方发布安全更新公告，修复了一个存在于Workspace ONE Content中的密码绕过漏洞（CVE-2023-20857）。

基于Android平台的VMware Workspace ONE Content中存在密码绕过漏洞，攻击者通过利用Android的ROOT权限绕过Workspace ONE Content密码，成功利用此漏洞可实现未授权访问和获取敏感信息。

1.2 影响版本

VMware Workspace ONE Content（Android平台）< 23.02

1.3 漏洞利用情况

漏洞情况

状态

官方补丁/安全版本

已发布

漏洞细节

未公开

POC

未公开

威胁等级

中危

影响程度

广泛

利用价值

中等

利用难度

高

漏洞评分

6.8

在野利用

未发现

1.4 修复措施

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本，官方链接：https://www.vmware.com/security/advisories/VMSA-2023-0006.html

二、Node.js权限绕过漏洞（CVE-2023-23918）

2.1 漏洞概述

Node.js由Ryan Dahl开发，是一个基于Chrome V8引擎的JavaScript运行环境。Node.js提供了各种丰富的JavaScript模块库，用于搭建响应速度快、易于扩展的网络应用。2023年3月，新华三盾山实验室在持续跟踪流行漏洞过程中监测到Node.js官方发布安全更新公告，修复了一个存在于Node.js中的权限绕过漏洞（CVE-2023-23918）。

由于Node.js对权限控制不当，导致恶意攻击者可以通过使用 process.mainModule.require() 绕过Node.js权限策略并访问未授权的模块 (只影响启用--experimental-policy 实验权限的用户) 。

2.2 影响版本

Node.js < 19.6.1

Node.js < 18.14.1

Node.js < 16.19.1

Node.js < 14.21.3

2.3 漏洞利用情况

漏洞情况

状态

官方补丁/安全版本

已发布

漏洞细节

未公开

POC

未公开

威胁等级

高危

影响程度

广泛

利用价值

中等

利用难度

低

漏洞评分

7.5

在野利用

未发现

2.4 修复措施

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本，官方链接：https://nodejs.org/en/download/

三、Smartbi 远程代码执行漏洞

3.1 漏洞概述

Smartbi是思迈特软件推出的商业智能BI软件，致力于为企业客户提供一站式商业智能解决方案。具有Query（灵活查询）、Analysis（多维分析）、Report（业务报表）、Dashboard（仪表盘）、Mobile（移动终端展现平台）等五大展现模块，广泛应用于金融、大型制造业、政府、电信等多个行业。2023年3月，新华三盾山实验室在持续跟踪流行漏洞过程中监测到Smartbi官方发布了安全更新公告，修复了一个存在于Smartbi中的远程代码执行漏洞。

Smartbi大数据分析平台中存在远程代码执行漏洞，未经身份验证的恶意攻击者通过向系统发送特殊数据，成功利用此漏洞可在目标系统上执行任意代码，获取目标系统的控制权限。

3.2 影响版本

V7