漏洞信息月度通报2023年第7期

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞1764个，其中高危漏洞995个，中危漏洞684个，低危漏洞85个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1534个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

1

Apache多款产品存在安全漏洞

CNVD编号

CNVD-2023-55391、CNVD-2023-55392CNVD-2023-55393、CNVD-2023-55394CNVD-2023-55396、CNVD-2023-55401CNVD-2023-55422、CNVD-2023-55432CNVD-2023-57670、CNVD-2023-57672

本月，Apache多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码，获取敏感信息，造成拒绝服务等。本月漏洞包括：ApacheAny23拒绝服务漏洞、ApacheHiveProvider代码执行漏洞、ApacheAirflowJDBCProvider代码执行漏洞、ApacheAirflowODBCProvider远程代码执行漏洞、ApacheStreamPipes权限提升漏洞、ApacheAirflow信息泄露漏洞（CNVD-2023-55401）、ApacheStruts拒绝服务漏洞（CNVD-2023-55422、CNVD-2023-55432）、ApachePortableRuntime越界写漏洞（CNVD-2023-57670、CNVD-2023-57672）等。

其他编号

CVE-2023-34150、CVE-2023-35797

CVE-2023-22886、CVE-2023-34395

CVE-2023-31469、CVE-2023-35005

CVE-2023-34396、CVE-2023-34149

CVE-2022-28331、CVE-2022-24963

2023-07-14

影响产品

Apacheany23

Apachestruts

ApacheAirflow

ApacheStreamPipes

ApacheHiveProvider

ApachePortableRuntime

ApacheAirflowJDBCProvider

ApacheAirflowODBCProvider

2

Mozilla多款产品存在安全漏洞

CNVD-2023-55349、CNVD-2023-55351CNVD-2023-55350、CNVD-2023-55354CNVD-2023-55356、CNVD-2023-58298CNVD-2023-59025、CNVD-2023-59027CNVD-2023-59029、CNVD-2023-59954

本月，Mozilla多款产品存在安全漏洞。攻击者可利用该漏洞导致程序崩溃，任意代码执行等。本月漏洞包括：MozillaFirefox缓冲区溢出漏洞（CNVD-2023-59954、CNVD-2023-55349、CNVD-2023-55351、CNVD-2023-55350、CNVD-2023-55354）、MozillaFirefox资源管理错误漏洞（CNVD-2023-55356、CNVD-2023-58298、CNVD-2023-59025、CNVD-2023-59027、CNVD-2023-59029）等。

CVE-2023-34417、CVE-2023-32209

CVE-2023-34416、CVE-2023-28176

CVE-2022-26485、CVE-2023-3600

CVE-2023-37201、CVE-2023-37209

CVE-2023-25747、CVE-2022-29917

2023-07-11

MozillaFirefox

MozillaFirefoxESR

MozillaThunderbird

Mozillafirefoxfocus

mozillaFirefoxAndroid

3

Microsoft多款产品存在安全漏洞

CNVD-2023-53463、CNVD-2023-53464CNVD-2023-53467、CNVD-2023-53469CNVD-2023-53904、CNVD-2023-53906CNVD-2023-53907、CNVD-2023-53908CNVD-2023-53909、CNVD-2023-53911

本月，Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码，造成拒绝服务，获取管理权限等。本月漏洞包括：MicrosoftSharePoint拒绝服务漏洞、MicrosoftSharePointServer权限提升漏洞（CNVD-2023-53464）、MicrosoftSharePointServer远程代码执行漏洞（CNVD-2023-53467、CNVD-2023-53469）、MicrosoftExcel远程代码执行漏洞（CNVD-2023-53904、CNVD-2023-53906）、MicrosoftExcel安全功能绕过漏洞（CNVD-2023-53907）、MicrosoftExcel代码执行漏洞（CNVD-2023-53908、CNVD-2023-53909、CNVD-2023-53911）等。

CVE-2023-33129、CVE-2023-29357

CVE-2023-24955、CVE-2023-21744

CVE-2022-41106、CVE-2022-41063

CVE-2022-33631、CVE-2022-33648

CVE-2023-33137、CVE-2023-23399

2023-07-05

MicrosoftExcel2013

MicrosoftExcel2016

MicrosoftOffice2013

MicrosoftOffice2016

MicrosoftOffice2019

MicrosoftExcel2013RT

MicrosoftOffice2013RT

MicrosoftOfficeLTSC2021

MicrosoftOffice2019forMac

MicrosoftOfficeOnlineServer

MicrosoftSharePointServer2019

Microsoft365AppsforEnterprise

MicrosoftOfficeLTSCforMac2021

MicrosoftSharePointFoundation2013

MicrosoftOfficeWebAppsServer2013

MicrosoftSharePointEnterpriseServer2016

MicrosoftSharePointEnterpriseServer2013

MicrosoftSharePointServerSubscriptionEdition

4

Adobe多款产品存在安全漏洞

CNVD-2023-55035、CNVD-2023-55034CNVD-2023-55033、CNVD-2023-55038CNVD-2023-55037、CNVD-2023-55036CNVD-2023-57683、CNVD-2023-57687CNVD-2023-57684、CNVD-2023-57688

本月，Adobe多款产品存在安全漏洞。攻击者可利用该漏洞在当前用户的上下文中执行任意代码。本月漏洞包括：AdobeAcrobatReader资源管理错误漏洞（CNVD-2023-55035、CNVD-2023-55034、CNVD-2023-55033、CNVD-2023-55038、CNVD-2023-55037、CNVD-2023-55036）、AdobeAcrobatReader越界读取漏洞（CNVD-2023-57683）、AdobeAcrobatReader越界写入漏洞（CNVD-2023-57684、CNVD-2023-57687、CNVD-2023-57688）等。

CVE-2023-26419、CVE-2023-26422

CVE-2023-26424、CVE-2023-26417

CVE-2023-26418、CVE-2023-26420

CVE-2023-26425、CVE-2023-22241

CVE-2023-26395、CVE-2023-22242

2023-07-10

AdobeAcrobatDC

AdobeAcrobat2020

AdobeAcrobatReaderDC

AdobeAcrobatReader2020

5

Google多款产品存在安全漏洞

CNVD-2023-55363、CNVD-2023-55365CNVD-2023-55366、CNVD-2023-55367CNVD-2023-55368、CNVD-2023-55369CNVD-2023-55374、CNVD-2023-55375CNVD-2023-55377、CNVD-2023-55378

本月，Google多款产品存在安全漏洞。攻击者可利用该漏洞提升权限。本月漏洞包括：GoogleAndroid权限提升漏洞（CNVD-2023-55363、CNVD-2023-55365、CNVD-2023-55366、CNVD-2023-55367、CNVD-2023-55368、CNVD-2023-55369、CNVD-2023-55374、CNVD-2023-55375、CNVD-2023-55377、CNVD-2023-55378）等。

CVE-2023-21098、CVE-2023-20967

CVE-2023-21083、CVE-2023-20941

CVE-2023-21097、CVE-2023-21094

CVE-2023-21081、CVE-2023-21099

CVE-2023-21086、CVE-2023-20950

2023-07-13

GoogleAndroid

6

Siemens多款产品存在安全漏洞

CNVD-2023-55713、CNVD-2023-56535CNVD-2023-56533、CNVD-2023-56537CNVD-2023-56536、CNVD-2023-56540CNVD-2023-56539、CNVD-2023-56538CNVD-2023-56542、CNVD-2023-56541

本月，Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码，导致拒绝服务等。本月漏洞包括：SiemensRUGGEDCOMROX跨站请求伪造漏洞、SiemensTecnomatixPlantSimulation堆栈缓冲区溢出漏洞（CNVD-2023-56535、CNVD-2023-56536）、SiemensSiPassIntegrated堆栈溢出漏洞、SiemensTecnomatixPlantSimulation越界写入漏洞（CNVD-2023-56537）、SiemensTecnomatixPlantSimulation堆缓冲区溢出漏洞（CNVD-2023-56539、CNVD-2023-56538）、SiemensSIMATICMV500Devices资源消耗失控漏洞（CNVD-2023-56542、CNVD-2023-56541、CNVD-2023-56540）等。

CVE-2022-29561、CVE-2023-37375

CVE-2022-31810、CVE-2023-37248

CVE-2023-37374、CVE-2023-36521

CVE-2023-37246、CVE-2023-37247

CVE-2023-35920、CVE-2023-35921

2023-07-17

SiemensSiPassintegrated

SiemensRUGGEDCOMROXMX5000

SiemensRUGGEDCOMROXMX5000RE

SiemensRUGGEDCOMROXRX1400

SiemensRUGGEDCOMROXRX1500

SiemensRUGGEDCOMROXRX1501

SiemensRUGGEDCOMROXRX1510

SiemensRUGGEDCOMROXRX1511

SiemensRUGGEDCOMROXRX1512

SiemensRUGGEDCOMROXRX1524

SiemensRUGGEDCOMROXRX1536

SiemensTecnomatixPlantSimulationV2201

SiemensTecnomatixPlantSimulationV2302

SiemensSIMATICMV540H(6GF3540-0GE10)

SiemensSIMATICMV540S(6GF3540-0CD10)

SiemensSIMATICMV550H(6GF3550-0GE10)

SiemensSIMATICMV550S(6GF3550-0CD10)

SiemensSIMATICMV560U(6GF3560-0LE10)

SiemensSIMATICMV560X(6GF3560-0HE10)

7

Linux多款产品存在安全漏洞

CNVD-2023-54413、CNVD-2023-54416CNVD-2023-54415、CNVD-2023-54619CNVD-2023-56638、CNVD-2023-56641CNVD-2023-56639、CNVD-2023-56644CNVD-2023-56645、CNVD-2023-58993

本月，Linux多款产品存在安全漏洞。攻击者可利用该漏洞远程执行任意代码，导致系统崩溃或权限提升等。本月漏洞包括：Linuxkernel缓冲区溢出漏洞（CNVD-2023-58993、CNVD-2023-56641、CNVD-2023-54413）、Linuxkernel信息泄露漏洞（CNVD-2023-54416）、Linuxkernel拒绝服务漏洞（CNVD-2023-54415、CNVD-2023-54619、CNVD-2023-56638、CNVD-2023-56639、CNVD-2023-56644、CNVD-2023-56645）等。

CVE-2023-2176、CVE-2023-23586

CVE-2023-28328、CVE-2023-3312

CVE-2023-3106、CVE-2023-37453

CVE-2023-3108、CVE-2023-3212

CVE-2023-3220、CVE-2022-47940

2023-07-18

Linuxkernel

8

TrendMicro多款产品存在安全漏洞

CNVD-2023-57660、CNVD-2023-57659CNVD-2023-57664、CNVD-2023-57663CNVD-2023-57662、CNVD-2023-57661CNVD-2023-57667、CNVD-2023-57666CNVD-2023-57665、CNVD-2023-57669

本月，TrendMicro多款产品存在安全漏洞。攻击者可利用该漏洞注入恶意脚本或HTML代码，提交特殊的SQL请求，操作数据库，获取敏感信息或执行任意代码等。本月漏洞包括：TrendMicroApexCentralSQL注入漏洞（CNVD-2023-57667、CNVD-2023-57659）、TrendMicroApexCentral跨站脚本漏洞（CNVD-2023-57664、CNVD-2023-57663、CNVD-2023-57662、CNVD-2023-57661、CNVD-2023-57660、CNVD-2023-57666、CNVD-2023-57665、CNVD-2023-57669）等。

CVE-2023-32535、CVE-2023-32529

CVE-2023-32531、CVE-2023-32532

CVE-2023-32533、CVE-2023-32534

CVE-2023-32530、CVE-2023-32604

CVE-2023-32605、CVE-2023-32536

2023-07-20

TrendMicroApexCentral

表1本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月WEB应用占比例较大。与前12个月相比，本月WEB应用、操作系统、智能设备（物联网终端设备）漏洞的数量处于高位，数据库、应用程序、网络设备（交换机、路由器等网络端设备）、安全产品漏洞的数量处于低位。

图1漏洞类型分布

北京星网锐捷网络技术有限公司RG-BCR860操作系统命令注入漏洞

CNVD-2023-54867

2023/7/7

MicrosoftExcel代码执行漏洞（CNVD-2023-53909）

CNVD-2023-53909

2023/7/5

GoogleAndroid权限提升漏洞（CNVD-2023-55365）

CNVD-2023-55365

2023/7/12

SiemensTecnomatixPlantSimulation堆栈缓冲区溢出漏洞（CNVD-2023-56535）

CNVD-2023-56535

2023/7/17

MoxaSDS-3008跨站脚本漏洞

CNVD-2023-58306

2023/7/24

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞1764个，与前12个月平均收录数量1791个相比，处于低位；本月高危漏洞995个，与前12个月高危漏洞平均收录数量762个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2漏洞发布趋势

由图2所示，本月21日发布的安全漏洞数量最多，高达267个，主要是因为收录了D-Link、用友等多款产品存在的多个漏洞。

2.单位和个人上报漏洞统计

报送单位或个人

漏洞报送数量

原创漏洞数

奇安信网神（补天平台）

30327

斗象科技（漏洞盒子）

17449

上海交大

3611

三六零数字安全科技集团有限公司

2755

新华三技术有限公司

2074

0

北京启明星辰信息安全技术有限公司

1657

35

安天科技集团股份有限公司

1419

北京神州绿盟科技有限公司

1370

24

深信服科技股份有限公司

1025

北京天融信网络安全技术有限公司

997

21

北京数字观星科技有限公司

659

阿里云计算有限公司

439

北京长亭科技有限公司

422

10

天津市国瑞数码安全系统股份有限公司

274

远江盛邦（北京）网络安全科技股份有限公司

124

厦门服云信息科技有限公司

105

北京知道创宇信息技术有限公司

116

杭州迪普科技股份有限公司

67

杭州安恒信息技术股份有限公司

29

京东科技信息技术有限公司

26

西安四叶草信息技术有限公司

9

卫士通信息产业股份有限公司

北京智游网安科技有限公司

中国电信集团系统集成有限责任公司

华为技术有限公司

南京铱迅信息技术股份有限公司

深圳市腾讯计算机系统有限公司（玄武实验室）

内蒙古奥创科技有限公司

浙江大华技术股份有限公司

北京信联数安科技有限公司

内蒙古中叶信息技术有限责任公司

383

杭州美创科技有限公司

327

重庆电信系统集成有限公司

163

河南东方云盾信息技术有限公司

162

联想集团

127

安徽锋刃信息科技有限公司

106

河南信安世纪科技有限公司

76

快页信息技术有限公司

68

奇安星城网络安全运营服务（长沙）有限公司

56

赛尔网络有限公司

37

杭州默安科技有限公司

28

西门子（中国）有限公司

25

河北镌远网络科技有限公司

13

内蒙古洞明科技有限公司

12

中国工商银行股份有限公司软件开发中心

河南省鼎信信息安全等级测评有限公司

博智安全科技股份有限公司

平安银河实验室

北京赛博昆仑科技有限公司

北京山石网科信息技术有限公司

亚信科技（成都）有限公司

宁夏凯信特信息科技有限公司

智网安云（武汉）信息技术有限公司

北京六方云信息技术有限公司

广州安亿信软件科技有限公司

北京微步在线科技有限公司

浙江木链物联网科技有限公司

星云博创科技有限公司

南方电网数字电网集团信息通信科技有限公司

江苏晟晖信息科技有限公司

江苏极元信息技术有限公司

长春嘉诚信息技术股份有限公司

成都天天网安信息安全技术有限公司

北京网御星云信息技术有限公司

中能融合智慧科技有限公司

西藏熙安信息技术有限责任公司

河南悦海数安科技有限公司

信息产业信息安全测评中心

重庆易阅科技有限公司

工业和信息化部电子第五研究所

南京深安科技有限公司

杭州弘沿科技有限公司

国网上海市电力公司

任子行网络技术股份有限公司

中国电信股份有限公司研究院

山东九域信息技术有限公司

南京师范大学常州创新发展研究院软件与信息安全测评中心

广西网信信息技术有限公司

山石网科通信技术股份有限公司

江苏君立华域信息安全技术股份有限公司

郑州埃文计算机科技有限公司

神州灵云（北京）科技有限公司

深圳建安润星安全技术有限公司

上海市信息安全测评认证中心

上海蔚来汽车有限公司

安徽长泰科技有限公司

中国航天系统科学与工程研究院

海南神州希望网络有限公司

四川中成基业安全技术有限公司

奇安信-工控安全实验室

江西诚韬科技有限公司

北京惠而特科技有限公司

辽宁海事局

CNCERT广西分中心

15

CNCERT宁夏分中心

CNCERT贵州分中心

CNCERT浙江分中心

个人

5489

报送总计

1764（去重）

61658

地址：呼和浩特市赛罕区巴彦镇大学城内蒙古电子信息职业技术学院