漏洞信息月度通报2023年第7期

转自国家信息安全漏洞共享平台

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞1764个，其中高危漏洞995个，中危漏洞684个，低危漏洞85个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1534个。

1. 本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Apache多款产品存在安全漏洞	CNVD编号	CNVD-2023-55391、CNVD-2023-55392CNVD-2023-55393、CNVD-2023-55394CNVD-2023-55396、CNVD-2023-55401CNVD-2023-55422、CNVD-2023-55432CNVD-2023-57670、CNVD-2023-57672	本月，Apache多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码，获取敏感信息，造成拒绝服务等。本月漏洞包括：Apache Any23拒绝服务漏洞、Apache Hive Provider代码执行漏洞、Apache Airflow JDBC Provider代码执行漏洞、Apache Airflow ODBC Provider远程代码执行漏洞、Apache StreamPipes权限提升漏洞、Apache Airflow信息泄露漏洞（CNVD-2023-55401）、Apache Struts拒绝服务漏洞（CNVD-2023-55422、CNVD-2023-55432）、Apache Portable Runtime越界写漏洞（CNVD-2023-57670、CNVD-2023-57672）等。




		其他编号	CVE-2023-34150、CVE-2023-35797 CVE-2023-22886、CVE-2023-34395 CVE-2023-31469、CVE-2023-35005 CVE-2023-34396、CVE-2023-34149 CVE-2022-28331、CVE-2022-24963




		发布时间	2023-07-14
		影响产品	Apache any23 Apache struts Apache Airflow Apache StreamPipes Apache Hive Provider Apache Portable Runtime Apache Airflow JDBC Provider Apache Airflow ODBC Provider






















2	Mozilla多款产品存在安全漏洞	CNVD编号	CNVD-2023-55349、CNVD-2023-55351CNVD-2023-55350、CNVD-2023-55354CNVD-2023-55356、CNVD-2023-58298CNVD-2023-59025、CNVD-2023-59027CNVD-2023-59029、CNVD-2023-59954	本月，Mozilla多款产品存在安全漏洞。攻击者可利用该漏洞导致程序崩溃，任意代码执行等。本月漏洞包括：Mozilla Firefox缓冲区溢出漏洞（CNVD-2023-59954、CNVD-2023-55349、CNVD-2023-55351、CNVD-2023-55350、CNVD-2023-55354）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-55356、CNVD-2023-58298、CNVD-2023-59025、CNVD-2023-59027、CNVD-2023-59029）等。




		其他编号	CVE-2023-34417、CVE-2023-32209 CVE-2023-34416、CVE-2023-28176 CVE-2022-26485、CVE-2023-3600 CVE-2023-37201、CVE-2023-37209 CVE-2023-25747、CVE-2022-29917




		发布时间	2023-07-11
		影响产品	Mozilla Firefox Mozilla Firefox ESR Mozilla Thunderbird Mozilla firefox focus mozilla Firefox Android





















3	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2023-53463、CNVD-2023-53464CNVD-2023-53467、CNVD-2023-53469CNVD-2023-53904、CNVD-2023-53906CNVD-2023-53907、CNVD-2023-53908CNVD-2023-53909、CNVD-2023-53911	本月，Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码，造成拒绝服务，获取管理权限等。本月漏洞包括：Microsoft SharePoint拒绝服务漏洞、Microsoft SharePoint Server权限提升漏洞（CNVD-2023-53464）、Microsoft SharePoint Server远程代码执行漏洞（CNVD-2023-53467、CNVD-2023-53469）、Microsoft Excel远程代码执行漏洞（CNVD-2023-53904、CNVD-2023-53906）、Microsoft Excel安全功能绕过漏洞（CNVD-2023-53907）、Microsoft Excel代码执行漏洞（CNVD-2023-53908、CNVD-2023-53909、CNVD-2023-53911）等。




		其他编号	CVE-2023-33129、CVE-2023-29357 CVE-2023-24955、CVE-2023-21744 CVE-2022-41106、CVE-2022-41063 CVE-2022-33631、CVE-2022-33648 CVE-2023-33137、CVE-2023-23399




		发布时间	2023-07-05
		影响产品	Microsoft Excel 2013 Microsoft Excel 2016 Microsoft Office 2013 Microsoft Office 2016 Microsoft Office 2019 Microsoft Excel 2013 RT Microsoft Office 2013 RT Microsoft Office LTSC 2021 Microsoft Office 2019 for Mac Microsoft Office Online Server Microsoft SharePoint Server 2019 Microsoft 365 Apps for Enterprise Microsoft Office LTSC for Mac 2021 Microsoft SharePoint Foundation 2013 Microsoft Office Web Apps Server 2013 Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2013 Microsoft SharePoint Server Subscription Edition





















4	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2023-55035、CNVD-2023-55034CNVD-2023-55033、CNVD-2023-55038CNVD-2023-55037、CNVD-2023-55036CNVD-2023-57683、CNVD-2023-57687CNVD-2023-57684、CNVD-2023-57688	本月，Adobe多款产品存在安全漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码。本月漏洞包括：Adobe Acrobat Reader资源管理错误漏洞（CNVD-2023-55035、CNVD-2023-55034、CNVD-2023-55033、CNVD-2023-55038、CNVD-2023-55037、CNVD-2023-55036）、Adobe Acrobat Reader越界读取漏洞（CNVD-2023-57683）、Adobe Acrobat Reader越界写入漏洞（CNVD-2023-57684、CNVD-2023-57687、CNVD-2023-57688）等。




		其他编号	CVE-2023-26419、CVE-2023-26422 CVE-2023-26424、CVE-2023-26417 CVE-2023-26418、CVE-2023-26420 CVE-2023-26425、CVE-2023-22241 CVE-2023-26395、CVE-2023-22242




		发布时间	2023-07-10
		影响产品	Adobe Acrobat DC Adobe Acrobat 2020 Adobe Acrobat Reader DC Adobe Acrobat Reader 2020





















5	Google多款产品存在安全漏洞	CNVD编号	CNVD-2023-55363、CNVD-2023-55365CNVD-2023-55366、CNVD-2023-55367CNVD-2023-55368、CNVD-2023-55369CNVD-2023-55374、CNVD-2023-55375CNVD-2023-55377、CNVD-2023-55378	本月，Google多款产品存在安全漏洞。攻击者可利用该漏洞提升权限。本月漏洞包括：Google Android权限提升漏洞（CNVD-2023-55363、CNVD-2023-55365、CNVD-2023-55366、CNVD-2023-55367、CNVD-2023-55368、CNVD-2023-55369、CNVD-2023-55374、CNVD-2023-55375、CNVD-2023-55377、CNVD-2023-55378）等。




		其他编号	CVE-2023-21098、CVE-2023-20967 CVE-2023-21083、CVE-2023-20941 CVE-2023-21097、CVE-2023-21094 CVE-2023-21081、CVE-2023-21099 CVE-2023-21086、CVE-2023-20950




		发布时间	2023-07-13
		影响产品	Google Android





















6	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2023-55713、CNVD-2023-56535CNVD-2023-56533、CNVD-2023-56537CNVD-2023-56536、CNVD-2023-56540CNVD-2023-56539、CNVD-2023-56538CNVD-2023-56542、CNVD-2023-56541	本月，Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码，导致拒绝服务等。本月漏洞包括：Siemens RUGGEDCOM ROX跨站请求伪造漏洞、Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞（CNVD-2023-56535、CNVD-2023-56536）、Siemens SiPass Integrated堆栈溢出漏洞、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-56537）、Siemens Tecnomatix Plant Simulation堆缓冲区溢出漏洞（CNVD-2023-56539、CNVD-2023-56538）、Siemens SIMATIC MV500 Devices资源消耗失控漏洞（CNVD-2023-56542、CNVD-2023-56541、CNVD-2023-56540）等。




		其他编号	CVE-2022-29561、CVE-2023-37375 CVE-2022-31810、CVE-2023-37248 CVE-2023-37374、CVE-2023-36521 CVE-2023-37246、CVE-2023-37247 CVE-2023-35920、CVE-2023-35921




		发布时间	2023-07-17
		影响产品	Siemens SiPass integrated Siemens RUGGEDCOM ROX MX5000 Siemens RUGGEDCOM ROX MX5000RE Siemens RUGGEDCOM ROX RX1400 Siemens RUGGEDCOM ROX RX1500 Siemens RUGGEDCOM ROX RX1501 Siemens RUGGEDCOM ROX RX1510 Siemens RUGGEDCOM ROX RX1511 Siemens RUGGEDCOM ROX RX1512 Siemens RUGGEDCOM ROX RX1524 Siemens RUGGEDCOM ROX RX1536 Siemens Tecnomatix Plant Simulation V2201 Siemens Tecnomatix Plant Simulation V2302 Siemens SIMATIC MV540 H (6GF3540-0GE10) Siemens SIMATIC MV540 S (6GF3540-0CD10) Siemens SIMATIC MV550 H (6GF3550-0GE10) Siemens SIMATIC MV550 S (6GF3550-0CD10) Siemens SIMATIC MV560 U (6GF3560-0LE10) Siemens SIMATIC MV560 X (6GF3560-0HE10)





















7	Linux多款产品存在安全漏洞	CNVD编号	CNVD-2023-54413、CNVD-2023-54416CNVD-2023-54415、CNVD-2023-54619CNVD-2023-56638、CNVD-2023-56641CNVD-2023-56639、CNVD-2023-56644CNVD-2023-56645、CNVD-2023-58993	本月，Linux多款产品存在安全漏洞。攻击者可利用该漏洞远程执行任意代码，导致系统崩溃或权限提升等。本月漏洞包括：Linux kernel缓冲区溢出漏洞（CNVD-2023-58993、CNVD-2023-56641、CNVD-2023-54413）、Linux kernel信息泄露漏洞（CNVD-2023-54416）、Linux kernel拒绝服务漏洞（CNVD-2023-54415、CNVD-2023-54619、CNVD-2023-56638、CNVD-2023-56639、CNVD-2023-56644、CNVD-2023-56645）等。




		其他编号	CVE-2023-2176、CVE-2023-23586 CVE-2023-28328、CVE-2023-3312 CVE-2023-3106、CVE-2023-37453 CVE-2023-3108、CVE-2023-3212 CVE-2023-3220、CVE-2022-47940




		发布时间	2023-07-18
		影响产品	Linux kernel





















8	Trend Micro多款产品存在安全漏洞	CNVD编号	CNVD-2023-57660、CNVD-2023-57659CNVD-2023-57664、CNVD-2023-57663CNVD-2023-57662、CNVD-2023-57661CNVD-2023-57667、CNVD-2023-57666CNVD-2023-57665、CNVD-2023-57669	本月，Trend Micro多款产品存在安全漏洞。攻击者可利用该漏洞注入恶意脚本或HTML代码，提交特殊的SQL请求，操作数据库，获取敏感信息或执行任意代码等。本月漏洞包括：Trend Micro Apex Central SQL注入漏洞（CNVD-2023-57667、CNVD-2023-57659）、Trend Micro Apex Central跨站脚本漏洞（CNVD-2023-57664、CNVD-2023-57663、CNVD-2023-57662、CNVD-2023-57661、CNVD-2023-57660、CNVD-2023-57666、CNVD-2023-57665、CNVD-2023-57669）等。




		其他编号	CVE-2023-32535、CVE-2023-32529 CVE-2023-32531、CVE-2023-32532 CVE-2023-32533、CVE-2023-32534 CVE-2023-32530、CVE-2023-32604 CVE-2023-32605、CVE-2023-32536




		发布时间	2023-07-20
		影响产品	Trend Micro Apex Central

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月WEB应用占比例较大。与前12个月相比，本月WEB应用、操作系统、智能设备（物联网终端设备）漏洞的数量处于高位，数据库、应用程序、网络设备（交换机、路由器等网络端设备）、安全产品漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	北京星网锐捷网络技术有限公司RG-BCR860操作系统命令注入漏洞	CNVD-2023-54867	2023/7/7
2	Microsoft Excel代码执行漏洞（CNVD-2023-53909）	CNVD-2023-53909	2023/7/5
3	Google Android权限提升漏洞（CNVD-2023-55365）	CNVD-2023-55365	2023/7/12
4	Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞（CNVD-2023-56535）	CNVD-2023-56535	2023/7/17
5	Moxa SDS-3008跨站脚本漏洞	CNVD-2023-58306	2023/7/24

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是北京星网锐捷网络技术有限公司RG-BCR860操作系统命令注入漏洞，其访问量达到41次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞1764个，与前12个月平均收录数量1791个相比，处于低位；本月高危漏洞995个，与前12个月高危漏洞平均收录数量762个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月21日发布的安全漏洞数量最多，高达267个，主要是因为收录了D-Link、用友等多款产品存在的多个漏洞。

2. 单位和个人上报漏洞统计

本月报送情况如表3所示。其中，新华三技术有限公司、北京启明星辰信息安全技术有限公司、安天科技集团股份有限公司、北京神州绿盟科技有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。内蒙古中叶信息技术有限责任公司、杭州美创科技有限公司、重庆电信系统集成有限公司、河南东方云盾信息技术有限公司、联想集团、安徽锋刃信息科技有限公司、河南信安世纪科技有限公司、快页信息技术有限公司、奇安星城网络安全运营服务（长沙）有限公司、赛尔网络有限公司、杭州默安科技有限公司、河北镌远网络科技有限公司、内蒙古洞明科技有限公司、中国工商银行股份有限公司软件开发中心、河南省鼎信信息安全等级测评有限公司、博智安全科技股份有限公司、平安银河实验室、北京赛博昆仑科技有限公司、北京山石网科信息技术有限公司、亚信科技（成都）有限公司、宁夏凯信特信息科技有限公司、智网安云（武汉）信息技术有限公司、北京六方云信息技术有限公司、广州安亿信软件科技有限公司、北京微步在线科技有限公司、浙江木链物联网科技有限公司、星云博创科技有限公司、南方电网数字电网集团信息通信科技有限公司、江苏晟晖信息科技有限公司、江苏极元信息技术有限公司、长春嘉诚信息技术股份有限公司、成都天天网安信息安全技术有限公司、北京网御星云信息技术有限公司、中能融合智慧科技有限公司、西藏熙安信息技术有限责任公司、河南悦海数安科技有限公司、信息产业信息安全测评中心、重庆易阅科技有限公司、工业和信息化部电子第五研究所、南京深安科技有限公司、杭州弘沿科技有限公司、国网上海市电力公司、任子行网络技术股份有限公司、中国电信股份有限公司研究院、山东九域信息技术有限公司、南京师范大学常州创新发展研究院软件与信息安全测评中心、广西网信信息技术有限公司、山石网科通信技术股份有限公司、江苏君立华域信息安全技术股份有限公司、郑州埃文计算机科技有限公司、神州灵云（北京）科技有限公司、深圳建安润星安全技术有限公司、上海市信息安全测评认证中心、上海蔚来汽车有限公司、安徽长泰科技有限公司、中国航天系统科学与工程研究院、海南神州希望网络有限公司、四川中成基业安全技术有限公司、奇安信-工控安全实验室、江西诚韬科技有限公司、北京惠而特科技有限公司、辽宁海事局及其他个人白帽子向CNVD提交了61658个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）、上海交大和三六零数字安全科技集团有限公司向CNVD共享的白帽子报送的54142条原创漏洞信息。

报送单位或个人	漏洞报送数量	原创漏洞数
奇安信网神（补天平台）	30327	30327
斗象科技（漏洞盒子）	17449	17449
上海交大	3611	3611
三六零数字安全科技集团有限公司	2755	2755
新华三技术有限公司	2074	0
北京启明星辰信息安全技术有限公司	1657	35
安天科技集团股份有限公司	1419	0
北京神州绿盟科技有限公司	1370	24
深信服科技股份有限公司	1025	0
北京天融信网络安全技术有限公司	997	21
北京数字观星科技有限公司	659	0
阿里云计算有限公司	439	3
北京长亭科技有限公司	422	10
天津市国瑞数码安全系统股份有限公司	274	0
远江盛邦（北京）网络安全科技股份有限公司	124	124
厦门服云信息科技有限公司	105	0
北京知道创宇信息技术有限公司	116	0
杭州迪普科技股份有限公司	67	0
杭州安恒信息技术股份有限公司	29	29
京东科技信息技术有限公司	26	6
西安四叶草信息技术有限公司	9	9
卫士通信息产业股份有限公司	7	7
北京智游网安科技有限公司	6	6
中国电信集团系统集成有限责任公司	6	6
华为技术有限公司	4	4
南京铱迅信息技术股份有限公司	2	2
深圳市腾讯计算机系统有限公司（玄武实验室）	2	2
内蒙古奥创科技有限公司	1	1
浙江大华技术股份有限公司	1	1
北京信联数安科技有限公司	1	1
内蒙古中叶信息技术有限责任公司	383	383
杭州美创科技有限公司	327	327
重庆电信系统集成有限公司	163	163
河南东方云盾信息技术有限公司	162	162
联想集团	127	127
安徽锋刃信息科技有限公司	106	106
河南信安世纪科技有限公司	76	76
快页信息技术有限公司	68	68
奇安星城网络安全运营服务（长沙）有限公司	56	56
赛尔网络有限公司	37	37
杭州默安科技有限公司	28	28
西门子（中国）有限公司	25	0
河北镌远网络科技有限公司	13	13
内蒙古洞明科技有限公司	12	12
中国工商银行股份有限公司软件开发中心	10	10
河南省鼎信信息安全等级测评有限公司	9	9
博智安全科技股份有限公司	8	8
平安银河实验室	8	8
北京赛博昆仑科技有限公司	7	7
北京山石网科信息技术有限公司	7	7
亚信科技（成都）有限公司	7	7
宁夏凯信特信息科技有限公司	6	6
智网安云（武汉）信息技术有限公司	6	6
北京六方云信息技术有限公司	6	6
广州安亿信软件科技有限公司	6	6
北京微步在线科技有限公司	5	5
浙江木链物联网科技有限公司	4	4
星云博创科技有限公司	4	4
南方电网数字电网集团信息通信科技有限公司	3	3
江苏晟晖信息科技有限公司	3	3
江苏极元信息技术有限公司	3	3
长春嘉诚信息技术股份有限公司	3	3
成都天天网安信息安全技术有限公司	3	3
北京网御星云信息技术有限公司	3	3
中能融合智慧科技有限公司	3	3
西藏熙安信息技术有限责任公司	2	2
河南悦海数安科技有限公司	2	2
信息产业信息安全测评中心	2	2
重庆易阅科技有限公司	2	2
工业和信息化部电子第五研究所	2	2
南京深安科技有限公司	2	2
杭州弘沿科技有限公司	2	2
国网上海市电力公司	2	2
任子行网络技术股份有限公司	1	1
中国电信股份有限公司研究院	1	1
山东九域信息技术有限公司	1	1
南京师范大学常州创新发展研究院软件与信息安全测评中心	1	1
广西网信信息技术有限公司	1	1
山石网科通信技术股份有限公司	1	1
江苏君立华域信息安全技术股份有限公司	1	1
郑州埃文计算机科技有限公司	1	1
神州灵云（北京）科技有限公司	1	1
深圳建安润星安全技术有限公司	1	1
上海市信息安全测评认证中心	1	1
上海蔚来汽车有限公司	1	1
安徽长泰科技有限公司	1	1
中国航天系统科学与工程研究院	1	1
海南神州希望网络有限公司	1	1
四川中成基业安全技术有限公司	1	1
奇安信-工控安全实验室	1	1
江西诚韬科技有限公司	1	1
北京惠而特科技有限公司	1	1
辽宁海事局	1	1
CNCERT广西分中心	15	15
CNCERT宁夏分中心	7	7
CNCERT贵州分中心	5	5
CNCERT浙江分中心	1	1
个人	5489	5489
报送总计	1764（去重）	61658

表3 单位和个人上报漏洞统计