安全知识，等保，密评，网络安全 - 广东南方信息安全研究院

安全知识

SAFETY KNOWLEDGE

您的当前位置：首页 > 新闻资讯 > 安全知识

2023年7月份漏洞通告

发布时间：2023-08-08

根据影响范围、危害程度等因素，筛选近期各大漏洞数据库公开披露的风险较大的漏洞，可依据此表进行安全风险识别、风险自查和漏洞修补。

汇总列表如下：

序号	漏洞名称	等级	发现时间
3.1	Microsoft Excel代码执行漏洞（CVE-2023-33137）	高危	2023-07-05
3.2	Google Android资源管理错误漏洞（CVE-2023-21108）	高危	2023-07-03
3.3	IBM DB2权限提升漏洞（CVE-2023-27558）	高危	2023-07-25
3.4	Adobe Acrobat Reader资源管理错误漏洞（CVE-2023-26418）	高危	2023-07-10
3.5	Google Android权限提升漏洞（CVE-2023-20967）	高危	2023-07-12
3.6	Apache Airflow JDBC Provider代码执行漏洞（CVE-2023-22886）	高危	2023-07-12
3.7	Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞（CVE-2023-37375）	高危	2023-07-17
3.8	Trend Micro Apex Central SQL注入漏洞（CVE-2023-32529）	高危	2023-07-20
3.9	Adobe Acrobat Reader访问控制错误漏洞（CVE-2023-26408）	高危	2023-07-20
3.10	Linux kernel缓冲区溢出漏洞（CVE-2022-47940）	高危	2023-07-26
3.11	Trend Micro Mobile Security存在文件包含漏洞（CVE-2023-32523/CVE-2023-32524）	高危	2023-07-24
3.12	IBM DB2拒绝服务漏洞（CVE-2023-30445）	高危	2023-07-26
3.13	Mozilla Firefox资源管理错误漏洞（CVE-2023-3600）	高危	2023-07-24
3.14	IBOS OA SQL注入漏洞（CVE-2023-3478）	中危	2023-07-07
3.15	Trend Micro Apex Central跨站脚本漏洞（CVE-2023-32604）	中危	2023-07-20
3.16	Linux kernel cedrus.c资源管理错误漏洞（CVE-2023-35826）	中危	2023-07-20

3.1 Microsoft Excel代码执行漏洞（CVE-2023-33137）

发现时间：2023-07-05

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Microsoft Excel存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

影响范围：

Microsoft Excel 2013 SP1

Microsoft Excel 2013 RT SP1

Microsoft Excel 2016

Microsoft Office Online Server

Microsoft Office 2019

安全建议：

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-33137

3.2 Google Android资源管理错误漏洞（CVE-2023-21108）

发现时间：2023-07-03

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Google Android存在资源管理错误漏洞，攻击者可利用该漏洞通过蓝牙远程执行代码。

影响范围：

Android Android 3

Google Android 11

Android Android 12

Google Android 12L

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://source.android.com/security/bulletin/2023-06-01

3.3 IBM DB2权限提升漏洞（CVE-2023-27558）

发现时间：2023-07-25

漏洞等级：高危

漏洞类型：类型混淆

漏洞利用细节是否公开：未公开

漏洞概述：

IBM DB2存在权限提升漏洞，攻击者可利用该漏洞通过在受影响服务的路径中插入可执行文件来获得提升的权限。

影响范围：

IBM DB2 10.5.0.11

IBM DB2 11.1.4.7

IBM DB2 11.5.*

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.ibm.com/support/pages/node/7010571

3.4 Adobe Acrobat Reader资源管理错误漏洞（CVE-2023-26418）

发现时间：2023-07-10

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Adobe Acrobat Reader存在资源管理错误漏洞，该漏洞源于存在释放后重用问题，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

影响范围：

Adobe Acrobat DC <=23.001.20093

Adobe Acrobat Reader DC <=23.001.20093

Adobe Acrobat 2020 <=20.005.30441

Adobe Acrobat Reader 2020 <=20.005.30441

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://helpx.adobe.com/security/products/acrobat/apsb23-24.html

3.5 Google Android权限提升漏洞（CVE-2023-20967）

发现时间：2023-07-12

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Google Android存在权限提升漏洞，该漏洞源于avdt_scb_act.cc组件的avdt_scb_hdl_pkt_no_frag不正确的边界检查，攻击者可利用此漏洞提升权限。

影响范围：

Google Android 11

Google Android 13

Google Android 12

Google Android 12L

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://source.android.com/security/bulletin/2023-04-01

3.6 Apache Airflow JDBC Provider代码执行漏洞（CVE-2023-22886）

发现时间：2023-07-12

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Apache Airflow JDBC Provider存在代码执行漏洞，攻击者可利用此漏洞在系统上执行任意代码。

影响范围：

Apache Apache Airflow JDBC Provider <4.0.0

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://lists.apache.org/thread/ynbjwp4n0vzql0xzhog1gkp1ovncf8j3

3.7 Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞（CVE-2023-37375）

发现时间：2023-07-17

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Siemens Tecnomatix Plant Simulation存在堆栈缓冲区溢出漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。

影响范围：

Siemens Tecnomatix Plant Simulation V2201 < V2201.0008

Siemens Tecnomatix Plant Simulation V2302 < V2302.0002

安全建议：

用户可参考如下供应商提供的安全公告获得补丁信息：

https://cert-portal.siemens.com/productcert/html/ssa-764801.html

3.8 Trend Micro Apex Central SQL注入漏洞（CVE-2023-32529）

发现时间：2023-07-20

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Trend Micro Apex Central存在SQl注入漏洞，攻击者可利用该漏洞提交特殊的SQL请求，操作数据库，获取敏感信息或执行任意代码。

影响范围：

Trend Micro Apex Central 2019 (On-prem)

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://success.trendmicro.com/dcx/s/solution/000293107?language=en_US

3.9 Adobe Acrobat Reader访问控制错误漏洞（CVE-2023-26408）

发现时间：2023-07-20

漏洞等级：高危

漏洞类型：N/A

漏洞利用细节是否公开：N/A

漏洞概述：

Adobe Acrobat Reader存在访问控制错误漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

影响范围：

Adobe Acrobat DC <=23.001.20093

Adobe Acrobat Reader DC <=23.001.20093

Adobe Acrobat 2020 <=20.005.30441

Adobe Acrobat Reader 2020 <=20.005.30441

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://helpx.adobe.com/security/products/acrobat/apsb23-24.html

3.10 Linux kernel缓冲区溢出漏洞（CVE-2022-47940）

发现时间：2023-07-26

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Linux kernel存在缓冲区溢出漏洞，该漏洞源于ksmbd中发现了一个问题，fs/ksmbd/smb2pdu.c在smb2_write的非填充情况下缺少长度验证。攻击者可利用该漏洞远程执行任意代码。

影响范围：

Linux Linux kernel >=5.15，<5.18.8

安全建议：

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=158a66b245739e15858de42c0ba60fcf3de9b8e6

3.11 Trend Micro Mobile Security存在文件包含漏洞（CVE-2023-32523/CVE-2023-32524）

发现时间：2023-07-24

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：已公开

漏洞概述：

Trend Micro Mobile Security存在文件包含漏洞，攻击者可利用该漏洞实现权限绕过。

影响范围：

Trend Micro Incorporated. Trend Micro Mobile Security <=9.8 SP5

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://success.trendmicro.com/dcx/s/solution/000293106?language=en_U

3.12 IBM DB2拒绝服务漏洞（CVE-2023-30445）

发现时间：2023-07-26

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。

IBM DB2存在拒绝服务漏洞，攻击者可利用该漏洞导致拒绝服务。

影响范围：

IBM DB2 10.5.0.11

IBM DB2 11.1.4.7

IBM DB2 11.5.*

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.ibm.com/support/pages/node/7010557

3.13 Mozilla Firefox资源管理错误漏洞（CVE-2023-3600）

发现时间：2023-07-24

漏洞等级：高危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Mozilla Firefox 115.0.2之前版本和Firefox ESR 115.0.2之前版本存在资源管理错误漏洞，该漏洞源于程序负责释放内存的指令发生混乱，攻击者可利用该漏洞导致潜在的可利用崩溃。

影响范围：

Mozilla Firefox <115.0.2

Mozilla Firefox ESR <115.0.2

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.mozilla.org/security/advisories/mfsa2023-26/

3.14 IBOS OA SQL注入漏洞（CVE-2023-3478）

发现时间：2023-07-07

漏洞等级：中危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

IBOS OA 4.5.5版本存在SQL注入漏洞，该漏洞源于组件Add User Handler中的参数id缺少对外部输入SQL语句的验证，攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

影响范围：

深圳市博思协创网络科技有限公司 IBOS OA 4.5.5

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

http://www.ibos.com.cn/download

3.15 Trend Micro Apex Central跨站脚本漏洞（CVE-2023-32604）

发现时间：2023-07-20

漏洞等级：中危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：未公开

漏洞概述：

Trend Micro Apex Central存在跨站脚本漏洞，攻击者可利用该漏洞注入恶意脚本或HTML代码。

影响范围：

Trend Micro Apex Central 2019 (On-prem)

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://success.trendmicro.com/dcx/s/solution/000293107?language=en_US

3.16 Linux kernel cedrus.c资源管理错误漏洞（CVE-2023-35826）

发现时间：2023-07-19

漏洞等级：中危

漏洞类型：通用型漏洞

漏洞利用细节是否公开：N/A

漏洞概述：

Linux kernel 6.3.2之前版本存在安全漏洞，该漏洞源于在drivers/staging/media/sunxi/cedrus/cedrus.c中的cedrus_remove中的dm1105_remove中释放内存的指令发生混乱。攻击者可利用该漏洞导致程序崩溃，任意代码执行等。

影响范围：

Linux Linux kernel <6.3.2

安全建议：

厂商已发布了漏洞修复程序，请及时关注更新：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=63264422785021704c39b38f65a78ab9e4a186d7

上一篇：2023年6月份漏洞通告下一篇：2023年7月安全事件及其防范

返回列表