新华三盾山实验室
2023/11/30
新华三盾山实验室持续跟踪各知名厂商产品、主流框架、流行组件等涉及的漏洞情况,整理出2023年11月份需重点关注的漏洞,供各企事业单位参考查阅。结合各重点漏洞影响版本以及对应官方修复补丁,请安全运维人员尽快对内部资产进行排查,并及时采取修复措施,避免遭受漏洞攻击而引起重大损失。
新华三盾山实验室依据漏洞热度、影响范围、严重程度、利用难度、漏洞细节、利用代码公开情况、在野利用情况等方面,整理出客户需要重点关注的漏洞如下:
一、Google Chrome信息泄露漏洞(CVE-2023-4357)
1.1 漏洞概述
Google Chrome是一种网页浏览器,由Google公司开发和发布。是当前最流行的浏览器之一,具有快速、简洁、安全等特点,可以在Windows、macOS、Linux和移动设备上使用。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Google官方发布了安全公告,修复了一个存在于Google Chrome中的信息泄露漏洞(CVE-2023-4357)。
由于Google Chrome未对用户提供的XML 输入进行过滤,恶意攻击者通过创建特制网页并诱骗受害者访问该网页,成功利用此漏洞可获取用户系统上的敏感信息。
1.2 影响版本
Google Chrome < 116.0.5845.96
1.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 中危 |
影响程度 | 广泛 |
利用价值 | 中等 |
利用难度 | 中等 |
漏洞评分 | 5.4 |
在野利用 | 未发现 |
1.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本,官方链接:https://www.google.cn/chrome/
二、IP-guard WebServer远程命令执行漏洞
2.1 漏洞概述
IP-guard 是由广州市溢信科技股份有限公司研发的一款企业级终端安全管理软件,旨在帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。IP-guard WebServer通常用于提供Web的用户界面,使用户可以通过浏览器访问IP-guard系统,从而监控网络活动、查看报告、配置设置等。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到IP-guard官方发布了安全公告,修复了一个存在于IP-guard WebServer的远程命令执行漏洞。
IP-guard WebServer存在远程命令执行漏洞,由于未对用户输入的数据进行过滤,未经身份验证的恶意攻击者成功利用此漏洞可在IP-guard Web服务器上执行任意命令,从而获取IP-guard Web服务器的控制权限。
2.2 影响版本
IP-guard WebServer < 4.81.0307.0
2.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
在野利用 | 未发现 |
2.4 修复措施
目前官方已修复该漏洞,受影响用户可安装最新补丁,官方链接:https://www.ip-guard.net/
三、Windows Cloud Files Mini Filter Driver权限提升漏洞(CVE-2023-36036)
3.1 漏洞概述
Windows Cloud Files Mini Filter Driver主要用于管理和促进云存储文件的操作。允许Windows与云存储服务同步,使用户能够直接从本地系统访问、修改和管理其云存储文件。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到微软官方修复存在在野利用的Windows Cloud Files Mini Filter Driver权限提升漏洞(CVE-2023-36036)。
Windows Cloud Files Mini Filter Driver 在处理Reparse point的过程中,进行memcpy时没有检查数据边界,恶意攻击者通过构造恶意Reparse point数据,导致越界写入,成功利用此漏洞可将普通权限提升至SYSTEM权限。
3.2 影响版本
Windows 11 Version 23H2 for x64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for ARM64-based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
3.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 中等 |
利用难度 | 中等 |
漏洞评分 | 7.8 |
在野利用 | 已发现 |
3.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本,官方链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036
四、Windows Pragmatic General Multicast (PGM) 远程代码执行漏洞(CVE-2023-36397)
4.1 漏洞概述
2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测发现Microsoft官方发布了11月安全更新,共发布57个漏洞的补丁信息,主要修复了Windows Server 2022、Microsoft Office、.NET8.0 等产品中的漏洞。在此次更新的补丁中,有17个漏洞被微软标记为严重漏洞,且部分漏洞存在在野利用。
Windows Pragmatic General Multicast (PGM) 存在代码执行漏洞,由于Windows Pragmatic General Multicast (PGM) 对用户的输入验证不足,当Windows消息队列服务运行在PGM Server环境中时,攻击者可以通过网络发送特制文件来实现远程代码执行。
4.2 影响版本
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
4.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 未公开 |
POC | 未公开 |
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
在野利用 | 未发现 |
4.4 修复措施
目前,微软官方已经发布针对此漏洞的补丁程序,建议用户通过以下链接尽快安装补丁程序:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
五、金蝶云星空ScpSupRegHandler任意文件上传漏洞
5.1 漏洞概述
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到金蝶云星空存在任意文件上传漏洞。
由于金蝶云星空未对上传路径和文件后缀进行严格的验证和过滤,恶意攻击者通过路径穿越将恶意脚本文件上传至目标服务器,从而执行恶意代码,获取服务器控制权限。
5.2 影响版本
金蝶云星空企业版私有云、企业版私有云(订阅)、标准版私有云(订阅)三个产品
V6.2(含17年12月补丁) 至 V8.1(含23年9月补丁)
5.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
在野利用 | 未发现 |
5.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:
https://vip.kingdee.com/article/505394681531036160?productLineId=1&%3BisKnowledge=2&isKnowledge=2
六、I Doc View在线文档预览系统代码执行漏洞
6.1 漏洞概述
I Doc View在线文档预览系统是一套用于在Web环境中展示和预览各种文档类型的系统,如文本文档、电子表格、演示文稿、PDF文件等。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到iDocView在线文档预览系统代码执行漏洞详解。
由于未能对用户输入的URL进行严格过滤,恶意攻击者通过构造特殊的URL,使服务器下载恶意文件,执行任意代码。
6.2 影响版本
I Doc View<13.10.1_20231115
6.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 严重 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
在野利用 | 未发现 |
6.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接: https://api.idocv.com
七、Splunk Enterprise远程代码执行漏洞(CVE-2023-46214)
7.1 漏洞概述
Splunk Enterprise是一种用于搜索、监控、分析和可视化大规模数据的软件平台。允许用户从各种数据源中收集、索引和分析数据,以便获得对业务运营和安全情况的深入见解,被广泛应用于IT运维、安全分析、业务智能和其他领域,为用户提供了丰富的数据洞察力和决策支持。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Splunk官方发布了安全公告,修复了一个存在于Splunk Enterprise中远程代码执行漏洞(CVE-2023-46214)。
由于未能安全清理用户提供的可扩展样式表语言转换 (XSLT,其中包含将 XML文档转换为HTML、纯文本或PDF等其他格式的规则),恶意攻击者通过上传恶意XSLT文件,成功利用此漏洞可在目标服务器上执行任意代码。
7.2 影响版本
Splunk Enterprise 9.0.0 - 9.0.6
Splunk Enterprise 9.1.0 - 9.1.1
Splunk Cloud < 9.1.2308
7.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.0 |
在野利用 | 未发现 |
7.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.splunk.com/
八、Apache DolphinScheduler信息泄漏漏洞(CVE-2023-48796)
8.1 漏洞概述
Apache DolphinScheduler是一个分布式、易扩展、可视化的工作流任务调度平台,旨在解决大数据场景下复杂任务的调度和监控问题。支持数据抽取、数据处理、数据传输等丰富的任务类型,用户可以通过可视化的方式创建、监控和管理这些任务。DolphinScheduler提供了多租户、任务依赖、任务流程编排、告警通知、任务监控等丰富的功能特性,具有良好的扩展性和灵活性。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Apache官方发布了安全公告,修复了一个存在于Apache DolphinScheduler中的信息泄露漏洞(CVE-2023-48796)。
Apache DolphinScheduler存在信息泄露漏洞,由于没有限制暴露的端点,导致所有端点全部暴露,未经身份验证的恶意攻击者通过访问其他端点获取获取敏感数据。(如访问/actuator/configprops端点查看所有配置属性,可获取数据库凭证信息)
8.2 影响版本
3.0.0<=Apache DolphinScheduler<3.0.2
8.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 未公开 |
POC | 未公开 |
威胁等级 | 严重 |
影响程度 | 一般 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | / |
在野利用 | 未发现 |
8.4 修复措施
目前官方已发布漏洞修复补丁,请受影响的用户及时升级补丁以修复该漏洞,参考链接:https://github.com/apache/dolphinscheduler/releases
九、Atlassian Confluence身份认证绕过漏洞(CVE-2023-22518)
9.1 漏洞概述
Atlassian Confluence是一款企业协作软件,旨在帮助团队成员共享知识、协作并建立集体智慧。提供一个集成的平台,使团队可以创建、共享和讨论内容,包括项目文档、会议记录、想法和团队计划。可以帮助企业提高生产力、促进团队合作,并促进知识共享和沟通。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Atlassian官方发布了安全公告,修复了一个存在于Atlassian Confluence中身份认证绕过漏洞(CVE-2023-22518)。
由于子组件Struts2继承关系处理不当,未经身份验证的恶意攻击者通过构造恶意请求包,成功利用此漏洞可绕过身份验证,获取服务器的控制权限。
9.2 影响版本
Atlassian:Confluence 8.3.0 - 8.3.4
Atlassian:Confluence 8.4.0 - 8.4.4
Atlassian:Confluence 8.5.0 - 8.5.3
Atlassian:Confluence 8.6.0 - 8.6.1
Atlassian:Confluence < 7.19.16
9.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.5 |
在野利用 | 未发现 |
9.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.atlassian.com/
十、泛微e-office10远程代码执行漏洞
10.1 漏洞概述
泛微e-Office是由泛微软件开发的一套企业办公自动化软件。包括协同办公、知识管理、文档管理、流程管理等多个模块,旨在帮助企业提高工作效率、优化管理流程,并实现信息化办公。常用于企业内部的协同办公、流程审批、文档管理等工作场景。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到泛微e-Office10远程代码漏洞详情。
泛微e-Office前台存在SQL注入,未经身份验证的恶意攻击者通过构造恶意数据执行SQL注入,从而获取管理员账号和口令,再配合后台文件包含即可在目标服务器上执行任意代码。
10.2 影响版本
泛微 e-Office < 10.0_20231107
10.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 未公开 |
POC | 未公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | / |
在野利用 | 未发现 |
10.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.weaver.com.cn/cs/securityDownload.asp#
十一、Google Chrome skia整数溢出漏洞(CVE-2023-6345)
11.1 漏洞概述
Google Chrome是一种网页浏览器,由 Google 公司开发和发布。是当前最流行的浏览器之一,具有快速、简洁、安全等特点,可以在Windows、macOS、Linux和移动设备上使用。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Google官方发布了安全公告,修复了一个存在于Google Chrome中的整数溢出漏洞(CVE-2023-6345)。
Google Chrome存在整数溢出漏洞,Chrome的Skia 中存在整数溢出,恶意攻击者通过构造恶意站点诱使受害者访问,成功利用此漏洞将导致浏览器崩溃或执行任意代码。
11.2 影响版本
Chrome < 119.0.6045.199
11.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 未公开 |
POC | 未公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 中等 |
漏洞评分 | 7.6 |
在野利用 | 已发现 |
11.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://www.google.cn/chrome/
十二、Apache ActiveMQ Jolokia代码执行漏洞(CVE-2022-41678)
12.1 漏洞概述
ActiveMQ是Apache 软件基金下的一个开源软件,基于Java的消息代理。作为一个消息中间件,Apache ActiveMQ充当了应用程序之间的通信桥梁,为应用程序提供高效的、可扩展的、稳定的和安全的企业级消息通信。2023年11月,新华三盾山实验室在持续跟踪流行漏洞过程中监测到Apache官方发布了安全公告,修复了一个存在于Apache ActiveMQ中的远程代码执行漏洞(CVE-2022-41678)。
Apache ActiveMQ Jolokia存在代码执行漏洞,经过身份验证的恶意攻击者通过/api/jolokia/接口来操作MBean,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。
12.2 影响版本
Apache ActiveMQ < 5.16.6
5.17.0< Apache ActiveMQ < 5.17.4
12.3 漏洞利用情况
漏洞情况 | 状态 |
官方补丁/安全版本 | 已发布 |
漏洞细节 | 已公开 |
POC | 已公开 |
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 中等 |
漏洞评分 | 7.2 |
在野利用 | 未发现 |
12.4 修复措施
目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://activemq.apache.org/
新华三防御措施建议
新华三盾山实验室建议受影响用户尽快排查受影响资产情况,结合官方修复建议及时升级最新安全版本或安装漏洞修复补丁。此外,新华三盾山实验室会持续跟踪漏洞情况,定期发布IPS规则库,及时合入重点漏洞防御规则。新华三全系安全产品可通过升级最新IPS规则库,识别并阻断漏洞攻击行为。