情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞1549个,其中高危漏洞703个,中危漏洞752个,低危漏洞94个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1274个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-28102、CNVD-2023-28103CNVD-2023-28109、CNVD-2023-28111CNVD-2023-30863、CNVD-2023-30861CNVD-2023-30866、CNVD-2023-30864CNVD-2023-30868、CNVD-2023-30867 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞远程执行代码。本月漏洞包括:Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞(CNVD-2023-28102、CNVD-2023-28103、CNVD-2023-28109、CNVD-2023-28111、CNVD-2023-30863、CNVD-2023-30861、CNVD-2023-30866、CNVD-2023-30864、CNVD-2023-30868、CNVD-2023-30867)等。 | |
其他编号 | CVE-2023-24868、CVE-2023-24867 CVE-2023-23406、CVE-2023-23413 CVE-2023-24909、CVE-2023-24913 CVE-2023-24876、CVE-2023-24907 CVE-2023-23403、CVE-2023-24872 | ||||
发布时间 | 2023-04-26 | ||||
影响产品 | Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server 2012 Microsoft Windows Server 2022 | ||||
2 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-26064、CNVD-2023-26066CNVD-2023-26067、CNVD-2023-26069CNVD-2023-26070、CNVD-2023-26072CNVD-2023-26073、CNVD-2023-26074CNVD-2023-29379、CNVD-2023-29380 | 本月,Google多款产品存在安全漏洞。攻击者可利用该漏洞获得提升的特权。本月漏洞包括:Google Android权限提升漏洞(CNVD-2023-26064、CNVD-2023-26066、CNVD-2023-26067、CNVD-2023-26069、CNVD-2023-26070、CNVD-2023-26072、CNVD-2023-26073、CNVD-2023-26074、CNVD-2023-29379)、Google Android资源管理错误漏洞(CNVD-2023-29380)等。 | |
其他编号 | CVE-2022-20550、CVE-2023-20938 CVE-2023-20946、CVE-2023-20945 CVE-2023-20934、CVE-2023-20944 CVE-2023-20940、CVE-2023-20943 CVE-2023-20921、CVE-2023-20920 | ||||
发布时间 | 2023-04-13 | ||||
影响产品 | Google Android
| ||||
3 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-31284、CNVD-2023-31286CNVD-2023-31287、CNVD-2023-31288CNVD-2023-31290、CNVD-2023-31293CNVD-2023-31292、CNVD-2023-31294CNVD-2023-31297、CNVD-2023-31296 | 本月,Adobe多款产品存在安全漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码。本月漏洞包括:Adobe Dimension越界写入漏洞(CNVD-2023-31284、CNVD-2023-31286、CNVD-2023-31287、CNVD-2023-31288、CNVD-2023-31290、CNVD-2023-31293、CNVD-2023-31292、CNVD-2023-31294、CNVD-2023-31297、CNVD-2023-31296)等。 | |
其他编号 | CVE-2023-26373、CVE-2023-26372 CVE-2023-26371、CVE-2023-25902 CVE-2023-25904、CVE-2023-25907 CVE-2023-25906、CVE-2023-26327 CVE-2023-26330、CVE-2023-26329 | ||||
发布时间 | 2023-04-28 | ||||
影响产品 | Adobe Dimension | ||||
4 | Apache多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-23551、CNVD-2023-23554CNVD-2023-23553、CNVD-2023-23552CNVD-2023-23555、CNVD-2023-25931CNVD-2023-25930、CNVD-2023-25929CNVD-2023-25928、CNVD-2023-25934 | 本月,Apache多款产品存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务,在受害者的系统上执行任意代码等。本月漏洞包括:Apache Dubbo代码问题漏洞(CNVD-2023-23551)、Apache Kafka代码问题漏洞(CNVD-2023-23554)、Apache ShenYu授权问题漏洞(CNVD-2023-23553)、Apache Commons FileUpload拒绝服务漏洞(CNVD-2023-23552)、Apache NiFi XML外部实体注入漏洞(CNVD-2023-23555)、Apache OpenOffice代码执行漏洞(CNVD-2023-25931、CNVD-2023-25930)、Apache Fineract服务器请求伪造漏洞、Apache UIMA DUCC命令注入漏洞、Apache InLong反序列化漏洞(CNVD-2023-25934)等。 | |
其他编号 | CVE-2023-23638、CVE-2023-25194 CVE-2022-42735、CVE-2023-24998 CVE-2023-22832、CVE-2022-47502 CVE-2022-38745、CVE-2023-25195 CVE-2023-28935、CVE-2023-24997 | ||||
发布时间 | 2023-04-12 | ||||
影响产品 | Apache Dubbo Apache Kafka Apache ShenYu Apache Commons FileUpload Apache NiFi Apache OpenOffice Apache Fineract Apache UIMA DUCC Apache InLong | ||||
5 | Foxit多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-25114、CNVD-2023-25118CNVD-2023-25117、CNVD-2023-25116CNVD-2023-25121、CNVD-2023-25120CNVD-2023-25119、CNVD-2023-25124CNVD-2023-25123、CNVD-2023-25122 | 本月,Foxit多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息,在当前进程中执行代码。本月漏洞包括:Foxit PDF Reader缓冲区溢出漏洞(CNVD-2023-25114)、Foxit PDF Reader资源管理错误漏洞(CNVD-2023-25118、CNVD-2023-25117、CNVD-2023-25116、CNVD-2023-25121、CNVD-2023-25120、CNVD-2023-25119、CNVD-2023-25124、CNVD-2023-25123、CNVD-2023-25122)等。 | |
其他编号 | CVE-2022-37383、CVE-2022-37390 CVE-2022-43637、CVE-2022-43641 CVE-2022-37384、CVE-2022-37385 CVE-2022-37389、CVE-2022-37379 CVE-2022-37382、CVE-2022-37387 | ||||
发布时间 | 2023-04-10 | ||||
影响产品 | Foxit PDF Reader | ||||
6 | Cisco多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-28093、CNVD-2023-28092CNVD-2023-28096、CNVD-2023-28095CNVD-2023-28094、CNVD-2023-28100CNVD-2023-28099、CNVD-2023-28098CNVD-2023-28097、CNVD-2023-28101 | 本月,Cisco多款产品存在安全漏洞。攻击者可利用该漏洞对受影响设备进行存储型跨站脚本 (XSS) 攻击。本月漏洞包括:Cisco Firepower Management Center跨站脚本漏洞(CNVD-2023-28093、CNVD-2023-28092、CNVD-2023-28096、CNVD-2023-28095、CNVD-2023-28094、CNVD-2023-28100、CNVD-2023-28099、CNVD-2023-28098、CNVD-2023-28097、CNVD-2023-28101)等。 | |
其他编号 | CVE-2022-20838、CVE-2022-20836 CVE-2022-20872、CVE-2022-20840 CVE-2022-20839、CVE-2022-20935 CVE-2022-20932、CVE-2022-20905 CVE-2022-20843、CVE-2022-20936 | ||||
发布时间 | 2023-04-17 | ||||
影响产品 | Cisco Firepower Management Center | ||||
7 | Delta Electronics多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-23884、CNVD-2023-23883CNVD-2023-23886、CNVD-2023-23887CNVD-2023-23885、CNVD-2023-23892CNVD-2023-23891、CNVD-2023-23890CNVD-2023-23889、CNVD-2023-23894 | 本月,Delta Electronics多款产品存在安全漏洞。攻击者利用该漏洞读取本地文件、公开明文凭据并升级权限,远程执行代码等。本月漏洞包括:Delta Electronics InfraSuite Device Master路径遍历漏洞(CNVD-2023-23884、CNVD-2023-23890)、Delta Electronics InfraSuite Device Master反序列化漏洞(CNVD-2023-23883、CNVD-2023-23887)、Delta Electronics InfraSuite Device Master认证错误漏洞、Delta Electronics InfraSuite Device Master身份验证错误漏洞、Delta Electronics InfraSuite Device Master命令注入漏洞、Delta Electronics InfraSuite Device Master访问控制错误漏洞(CNVD-2023-23886、CNVD-2023-23889、CNVD-2023-23894)等。 | |
其他编号 | CVE-2023-1134、CVE-2023-1139 CVE-2023-1137、CVE-2023-1133 CVE-2023-1136、CVE-2023-1140 CVE-2023-1141、CVE-2023-1142 CVE-2023-1144、CVE-2023-1138 | ||||
发布时间 | 2023-04-06 | ||||
影响产品 |
Delta Electronics InfraSuite Device Master | ||||
8 | SAP多款产品存在安全漏洞 | CNVD编号 | CNVD-2023-28117、CNVD-2023-28120CNVD-2023-28119、CNVD-2023-28118CNVD-2023-28121、CNVD-2023-28123CNVD-2023-28122、CNVD-2023-28126CNVD-2023-28125、CNVD-2023-28124 | 本月,SAP多款产品存在安全漏洞。攻击者可利用该漏洞读取非敏感服务器数据,提升权限等。本月漏洞包括:SAP Landscape Management信息泄露漏洞(CNVD-2023-28117)、SAP NetWeaver AS Java访问控制错误漏洞、SAP ABAP Platform路径遍历漏洞、SAP NetWeaver目录遍历漏洞、SAP NetWeaver AS Java授权问题漏洞(CNVD-2023-28121)、SAP NetWeaver AS授权问题漏洞、SAP NetWeaver Application Server访问控制错误漏洞、SAP Content Server跨站脚本漏洞、SAP NetWeaver跨站脚本漏洞(CNVD-2023-28125)、SAP NetWeaver AS输入验证错误漏洞(CNVD-2023-28124)等。 | |
其他编号 | CVE-2023-26458、CVE-2023-24526 CVE-2023-27500、CVE-2023-29186 CVE-2023-27268、CVE-2023-23857 CVE-2023-26460、CVE-2023-26457 CVE-2023-0021、CVE-2023-26459 | ||||
发布时间 | 2023-04-18 | ||||
影响产品 | SAP Landscape Management SAP Netweaver Application Server Java SAP ABAP Platform SPA NetWeaver SAP NetWeaver AS JAVA SAP NetWeaver AS SAP Content Server | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月WEB应用的数量处于高位,应用程序、网络设备(交换机、路由器等网络端设备)、数据库、安全产品、智能设备(物联网终端设备)漏洞、操作系统漏洞的数量处于低位 。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
漏洞名称 | CNVD编号 | 发布时间 | |
1 | Microsoft Visual Studio远程代码执行漏洞(CNVD-2023-29362) | CNVD-2023-29362 | 2023/4/20 |
2 | Google Android越界读取漏洞(CNVD-2023-26065) | CNVD-2023-26065 | 2023/4/13 |
3 | Google Chrome Web Payments API组件代码问题漏洞 | CNVD-2023-23821 | 2023/4/07 |
4 | Google Android权限提升漏洞(CNVD-2023-26064) | CNVD-2023-26064 | 2023/4/13 |
5 | RIOT-OS缓冲区溢出漏洞 | CNVD-2023-32178 | 2023/4/27 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是Microsoft Visual Studio远程代码执行漏洞(CNVD-2023-29362) ,其访问量达到77次以上 。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞1549个,与前12个月平均收录数量1787个相比,处于低位;本月高危漏洞703个,与前12个月高危漏洞平均收录数量697个相比,处于高位。本月的总体漏洞趋势如图2所示 。
图2 漏洞发布趋势
由图2所示,本月23日发布的安全漏洞数量最多,高达317个,主要是因为收录了北京百卓网络技术有限公司、 TOTOLINK等多款产品存在的多个漏洞。
