漏洞態(tài)勢(shì)

根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì)，2023年6月份采集安全漏洞共2227個(gè)。

本月接報(bào)漏洞38010個(gè)，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)758個(gè)，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)37252個(gè)，其中漏洞平臺(tái)推送漏洞36656個(gè)。

重大漏洞通報(bào)

微軟官方發(fā)布公告更新Microsoft SharePoint 安全漏洞(CNNVD-202306-940、CVE-2023-29357)、Microsoft Windows PGM 安全漏洞(CNNVD-202306-959、CVE-2023-29363)等多個(gè)漏洞：成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù)，提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前，微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

漏洞態(tài)勢(shì)

一、公開(kāi)漏洞情況

根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì)，2023年6月份新增安全漏洞共2227個(gè)，從廠商分布來(lái)看，WordPress基金會(huì)公司產(chǎn)品的漏洞數(shù)量最多，共發(fā)布411個(gè);從漏洞類型來(lái)看，跨站腳本類的漏洞占比最大，達(dá)到15.90%。本月新增漏洞中，超危漏洞280個(gè)、高危漏洞775個(gè)、中危漏洞1117個(gè)、低危漏洞55個(gè)，相應(yīng)修復(fù)率分別為68.57%、82.84%、80.39%以及81.82%。合計(jì)1777個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布，本月整體修復(fù)率79.79%。

截至2023年6月30日，CNNVD采集漏洞總量已達(dá)213374個(gè)。

1.1 漏洞增長(zhǎng)概況

2023年6月新增安全漏洞2227個(gè)，與上月(2412個(gè))相比減少了7.67%。根據(jù)近6個(gè)月來(lái)漏洞新增數(shù)量統(tǒng)計(jì)圖，平均每月漏洞數(shù)量達(dá)到2309個(gè)。

圖1 2023年1月至2023年6月漏洞新增數(shù)量統(tǒng)計(jì)圖

1.2 漏洞分布情況

1.2.1 漏洞廠商分布

2023年6月廠商漏洞數(shù)量分布情況如表1所示，WordPress基金會(huì)公司漏洞達(dá)到411個(gè)，占本月漏洞總量的18.46%。

1.2.2 漏洞產(chǎn)品分布

2023年6月主流操作系統(tǒng)的漏洞統(tǒng)計(jì)情況如表2所示。本月Windows系列操作系統(tǒng)漏洞數(shù)量共48個(gè)，Windows Server 2022漏洞數(shù)量最多，共40個(gè)，占主流操作系統(tǒng)漏洞總量的11.27%，排名第一。

1.2.3 漏洞類型分布

2023年6月份發(fā)布的漏洞類型分布如表3所示，其中跨站腳本類漏洞所占比例最大，約為15.90%。

1.2.4 漏洞危害等級(jí)分布

根據(jù)漏洞的影響范圍、利用方式、攻擊后果等情況，從高到低可將其分為四個(gè)危害等級(jí)，即超危、高危、中危和低危級(jí)別。2023年6月漏洞危害等級(jí)分布如圖2所示，其中超危漏洞280條，占本月漏洞總數(shù)的12.57%。

圖2 2023年6月漏洞危害等級(jí)分布

1.3漏洞修復(fù)情況

1.3.1 整體修復(fù)情況

2023年6月漏洞修復(fù)情況按危害等級(jí)進(jìn)行統(tǒng)計(jì)見(jiàn)圖3。其中高危漏洞修復(fù)率最高，達(dá)到82.84%，超危漏洞修復(fù)率最低，比例為68.57%。

總體來(lái)看，本月整體修復(fù)率由上月的81.92%下降至本月的79.79%。

圖3 2023年6月漏洞修復(fù)數(shù)量統(tǒng)計(jì)

1.3.2 廠商修復(fù)情況

2023年6月漏洞修復(fù)情況按漏洞數(shù)量前十廠商進(jìn)行統(tǒng)計(jì)，其中WordPress基金會(huì)、Google、Microsoft等十個(gè)廠商共828條漏洞，占本月漏洞總數(shù)的37.18%，漏洞修復(fù)率為87.92%，詳細(xì)情況見(jiàn)表4。多數(shù)知名廠商對(duì)產(chǎn)品安全高度重視，產(chǎn)品漏洞修復(fù)比較及時(shí)，其中Dell、IBM、Qualcomm、Trend Micro、HP等公司本月漏洞修復(fù)率均為100%，共728條漏洞已全部修復(fù)。

1.4 重要漏洞實(shí)例

1.4.1 超危漏洞實(shí)例

2023年6月超危漏洞共280個(gè)，其中重要漏洞實(shí)例如表5所示。

表5 2023年6月超危漏洞實(shí)例

（詳情略）

1、PrestaShop SQL注入漏洞(CNNVD-202306-108)

PrestaShop是美國(guó)PrestaShop公司的一套開(kāi)源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。

PrestaShop Module City Autocomplete存在安全漏洞，該漏洞源于存在SQL注入漏洞。受影響的產(chǎn)品和版本：PrestaShop 1.5/1.6版本:City Autocomplete 1.8.12之前版本，PrestaShop 1.7版本:City Autocomplete 2.0.3之前版本。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://addons.prestashop.com/fr/inscription-processus-de-commande/6097-city-autocomplete.html#overview_description

2、PrestaShop 代碼問(wèn)題漏洞(CNNVD-202306-244)

PrestaShop是美國(guó)PrestaShop公司的一套開(kāi)源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。

PrestaShop jmsslider 1.6.0版本存在安全漏洞，該漏洞源于容易受到通過(guò)ajax_jmsslider.php的不正確訪問(wèn)控制的影響。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，詳情請(qǐng)關(guān)注廠商主頁(yè)：

https://github.com/PrestaShop/PrestaShop

3、FreeBSD 授權(quán)問(wèn)題漏洞(CNNVD-202306-1613)

FreeBSD是FreeBSD基金會(huì)的一套類Unix操作系統(tǒng)。

FreeBSD存在安全漏洞，該漏洞源于如果系統(tǒng)上未配置密鑰表，pam_krb5無(wú)法驗(yàn)證來(lái)自KDC的響應(yīng)，攻擊者利用該漏洞可以對(duì)系統(tǒng)上的任何用戶進(jìn)行身份驗(yàn)證。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://www.freebsd.org/security/advisories/FreeBSD-SA-23:04.pam_krb5.asc

4、Google Android 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202306-1235)

Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。

Google Android 存在安全漏洞，該漏洞源于可能存在緩沖區(qū)溢出導(dǎo)致的遠(yuǎn)程代碼執(zhí)行，可能會(huì)導(dǎo)致無(wú)需額外執(zhí)行權(quán)限的本地權(quán)限升級(jí)。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://source.android.com/security/bulletin/2023-06-01

5、SICK EventCam 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202306-1424)

SICK EventCam是德國(guó)西克(SICK)公司的一款工業(yè)光電傳感器。

SICK EventCam 存在安全漏洞，該漏洞源于缺乏API身份驗(yàn)證，導(dǎo)致攻擊者可以修改和訪問(wèn)程序上的配置設(shè)置。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://sick.com/.well-known/csaf/white/2023/sca-2023-0005.pdf

6、OpenBSD 資源管理錯(cuò)誤漏洞(CNNVD-202306-1338)

OpenBSD是加拿大OpenBSD項(xiàng)目組的一套跨平臺(tái)的、基于BSD的類UNIX操作系統(tǒng)。

OpenBSD 7.2 errata 026之前版本、7.3 errata 004之前版本存在安全漏洞，該漏洞源于SSL_clear存在雙重釋放或釋放后重用問(wèn)題。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://github.com/libressl/openbsd/commit/96094ca8757b95298f49d65c813f303bd514b27b

7、ABB ASPECT 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202306-190)

ABB ASPECT是瑞士ABB公司的一個(gè)可擴(kuò)展建筑能源管理和控制解決方案。

ABB多款產(chǎn)品存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于允許攻擊者利用ASPECT接口的組件來(lái)執(zhí)行遠(yuǎn)程代碼。受影響的產(chǎn)品和版本：ABB ASPECT-Enterprise 3.0.0至3.07.0之前版本;NEXUS Series on NEXUS Series 3.0.0至3.07.0之前版本;MATRIX Series on MATRIX Series 3.0.0至3.07.01之前版本。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://search.abb.com/library/Download.aspx?DocumentID=2CKA000073B5403&LanguageCode=en&DocumentPartId=&Action=Launch

1.4.2 高危漏洞實(shí)例

2023年6月高危漏洞共775個(gè)，其中重要漏洞實(shí)例如表6所示。

表6 2023年6月高危漏洞實(shí)例

（詳情略）

1、SugarCRM Enterprise SQL注入漏洞(CNNVD-202306-1347)

SugarCRM Enterprise是美國(guó)SugarCRM公司的一套開(kāi)源的客戶關(guān)系管理系統(tǒng)(CRM)的企業(yè)版。該系統(tǒng)支持對(duì)不同的客戶需求進(jìn)行差異化營(yíng)銷、管理和分配銷售線索，實(shí)現(xiàn)銷售代表的信息共享和追蹤。

SugarCRM Enterprise 11.0.6 之前版本、12.0.3 之前版本存在安全漏洞，該漏洞源于在 REST API 存在SQL 注入漏洞，攻擊者利用該漏洞可以通過(guò)REST API 注入任意 SQL 代碼。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://support.sugarcrm.com/Resources/Security/sugarcrm-sa-2023-008/

2、VMware Aria Operations 代碼問(wèn)題漏洞(CNNVD-202306-549)

VMware Aria Operations是美國(guó)威睿(VMware)公司的一個(gè)統(tǒng)一的、人工智能驅(qū)動(dòng)的自動(dòng)駕駛 IT 運(yùn)營(yíng)管理平臺(tái)，適用于私有云、混合云和多云環(huán)境。

VMware Aria Operations Networks 6.x系列版本存在安全漏洞，攻擊者利用該漏洞可以執(zhí)行反序列化攻擊，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

3、Trend Micro Mobile Security for Enterprise 授權(quán)問(wèn)題漏洞(CNNVD-202306-1871)

Trend Micro Mobile Security for Enterprise是美國(guó)趨勢(shì)科技(Trend Micro)公司的一種移動(dòng)端防病毒軟件。

Trend Micro Mobile Security for Enterprise 9.8 SP5版本存在安全漏洞，該漏洞源于允許攻擊者繞過(guò)身份驗(yàn)證。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://success.trendmicro.com/dcx/s/solution/000293106?language=en_US

4、BMC AMI 操作系統(tǒng)命令注入漏洞(CNNVD-202306-804)

BMC AMI(BMC Automated Mainframe Intelligence)是美國(guó)BMC公司的一個(gè)自動(dòng)化大型機(jī)智能解決方案。

BMC AMI存在安全漏洞，該漏洞源于存在任意shell命令注入漏洞，這可能導(dǎo)致代碼執(zhí)行、拒絕服務(wù)、信息泄露或數(shù)據(jù)篡改。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://9443417.fs1.hubspotusercontent-na1.net/hubfs/9443417/Security%20Advisories/AMI-SA-2023005.pdf

5、Apple macOS Ventura 緩沖區(qū)錯(cuò)誤漏洞(CNNVD-202306-1546)

Apple macOS Ventura是美國(guó)Apple公司的一個(gè)桌面操作系統(tǒng)。

Apple macOS Ventura 13.3 之前版本存在安全漏洞，該漏洞源于處理網(wǎng)頁(yè)內(nèi)容時(shí)可能會(huì)導(dǎo)致任意代碼執(zhí)行。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://support.apple.com/en-us/HT213670

6、Dell OS Recovery Tool 訪問(wèn)控制錯(cuò)誤漏洞(CNNVD-202306-054)

Dell OS Recovery Tool是美國(guó)戴爾(Dell)公司的一個(gè)操作系統(tǒng)恢復(fù)工具。

Dell OS Recovery Tool 2.2.4013版本、2.3.7012.0版本存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于包含不當(dāng)訪問(wèn)控制，可能會(huì)利用此漏洞來(lái)提升系統(tǒng)權(quán)限。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://www.dell.com/support/kbdoc/en-us/000212575/dsa-2023-147

7、Google Android 資源管理錯(cuò)誤漏洞(CNNVD-202306-1243)

Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。

Google Android存在安全漏洞。攻擊者利用該漏洞可以執(zhí)行任意代碼。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://source.android.com/security/bulletin/2023-06-01

8、Apache Airflow 輸入驗(yàn)證錯(cuò)誤漏洞(CNNVD-202306-2143)

Apache Airflow是美國(guó)阿帕奇(Apache)基金會(huì)的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開(kāi)源平臺(tái)。該平臺(tái)具有可擴(kuò)展和動(dòng)態(tài)監(jiān)控等特點(diǎn)。

Apache Airflow JDBC Provider 4.0.0之前版本存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于存在不正確的輸入驗(yàn)證漏洞，攻擊者利用該漏洞可以執(zhí)行遠(yuǎn)程代碼。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://lists.apache.org/thread/ynbjwp4n0vzql0xzhog1gkp1ovncf8j3

二、漏洞平臺(tái)推送情況

2023年6月漏洞平臺(tái)推送漏洞36656個(gè)。

三、接報(bào)漏洞情況

2023年6月接報(bào)漏洞1354個(gè)，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)758個(gè)，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)596個(gè)。

表8 2023年6月接報(bào)漏洞情況表

（詳情略）

四、重大漏洞通報(bào)

微軟多個(gè)安全漏洞的通報(bào)

近日，微軟官方發(fā)布了多個(gè)安全漏洞的公告，其中微軟產(chǎn)品本身漏洞77個(gè)，影響到微軟產(chǎn)品的其他廠商漏洞8個(gè)。包括Microsoft SharePoint 安全漏洞(CNNVD-202306-940、CVE-2023-29357)、Microsoft Windows PGM 安全漏洞(CNNVD-202306-959、CVE-2023-29363)等多個(gè)漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù)，提升權(quán)限等。微軟多個(gè)產(chǎn)品和系統(tǒng)受漏洞影響。目前，微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁，建議用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

. 漏洞介紹

2023年6月13日，微軟發(fā)布了2023年6月份安全更新，共85個(gè)漏洞的補(bǔ)丁程序，CNNVD對(duì)這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Visual Studio和Microsoft .NET、Microsoft Visual Studio和Microsoft、Microsoft Windows iSCSI、Microsoft Windows Hyper-V、Microsoft Windows Bus Filter Driver等。CNNVD對(duì)其危害等級(jí)進(jìn)行了評(píng)價(jià)，其中超危漏洞4個(gè)，高危漏洞54個(gè)，中危漏洞24個(gè)，低危漏洞3個(gè)。微軟多個(gè)產(chǎn)品和系統(tǒng)版本受漏洞影響，具體影響范圍可訪問(wèn)微軟官方網(wǎng)站查詢：

https://portal.msrc.microsoft.com/zh-cn/security-guidance

. 漏洞詳情

此次更新共包括70個(gè)新增漏洞的補(bǔ)丁程序，其中超危漏洞4個(gè)，高危漏洞43個(gè)，中危漏洞21個(gè)，低危漏洞2個(gè)。

（詳情略）

此次更新共包括7個(gè)更新漏洞的補(bǔ)丁程序，其中高危漏洞4個(gè)，中危漏洞3個(gè)。

（詳情略）

此次更新共包括8個(gè)影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序，其中高危漏洞7個(gè)，低危漏洞1個(gè)。

（詳情略）

. 修復(fù)建議

目前，微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞，建議用戶及時(shí)確認(rèn)漏洞影響，盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址：

https://msrc.microsoft.com/update-guide/en-us

來(lái)源： CNNVD安全動(dòng)態(tài)