2023年3月必修漏洞清单

斗象科技漏洞情报中心推出2023年3月份必修安全漏洞清单。必修漏洞，指的是影响范围较广、企业必须立刻聚焦修复的安全漏洞。该清单上的漏洞一旦被黑客利用并发生入侵事件后，将会造成十分严重的损失。

斗象科技漏洞情报中心围绕安全漏洞的“危害、影响面、在野利用情况、POC/EXP公开情况、武器化情况、漏洞技术细节披露情况、社区讨论热度”等因素，综合评估该漏洞的风险系数。将超过特定风险阈值的漏洞列入必修安全漏洞候选清单。 漏洞情报中心定期发布安全漏洞必修清单，以期帮助政企客户提高安全意识，筑高安全水位，从而避免重大损失。

以下是2023年3月份必修安全漏洞清单详情：

Smartbi 大数据分析平台在 V7 至 V10.5.8 版本之间存在远程命令执行漏洞，攻击者不需要通过身份认证即可进行 RCE 利用。

漏洞状态：

请使用此产品的用户尽快更新至安全版本：https://www.smartbi.com.cn/patchinfo

https://vip.riskivy.com/detail/1630830456054353920

dubbo 泛型调用存在反序列化漏洞，可导致恶意代码执行。

漏洞状态：

2.7.0 <= Apache Dubbo <= 2.7.21

3.0.0 <= Apache Dubbo <= 3.0.13

3.1.0 <= Apache Dubbo <= 3.1.5

请使用此产品的用户尽快更新至最新版：https://cn.dubbo.apache.org/zh-cn/index.html

另外：

不要将 Dubbo 服务端口直接暴露在公网中。

对需要调用 Dubbo 服务端口的 IP 进行加白处理。

查看 dubbo.provider.telnet 属性是否配置 ls 和 cd 操作，若配置请及时删除。

https://vip.riskivy.com/detail/1633437675895787520

Microsoft Outlook存在特权提升漏洞。攻击者可以通过发送特殊设计的电子邮件，该电子邮件在Outlook客户端进行检索和处理时会自动触发该漏洞利用，导致受害者会连接外部攻击者控制的UNC，从而将受害者的Net-NTLMv2 hash值泄露给攻击者。

漏洞状态：

Microsoft Outlook 2016 (64-bit edition)

Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

Microsoft Outlook 2013 RT Service Pack 1

Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2019 for 32-bit editions

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

请使用此产品的用户尽快在线升级或更新安全补丁：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

若暂时不能升级请参考以下临时解决方案：

1. 将用户添加至 Protected Users Security 组，这可以有效阻止使用NTLM进行身份检验机制。

2. 设置防火墙/VPN阻止 TCP 445/SMB 出网，这可以阻止向远程文件共享发送NTLM身份验证信息。

https://vip.riskivy.com/detail/1635832727196536832

MinIO是在GNU Affero通用公共许可证v3.0下发布的高性能对象存储。它与Amazon S3云存储服务API兼容。使用MinIO为机器学习、分析和应用数据工作负载构建高性能基础架构。

MinIO在RELEASE.2019-12-17T23-16-33Z至RELEASE.2023-03-20T20-16-18Z版本之前存在信息泄露，未经身份验证的攻击者向MinIO发送特制的HTTP请求可以获MINIO_SECRET_KEY、MINIO_ROOT_PASSWORD等所有的环境变量。

漏洞状态：

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

请请使用此产品的用户尽快更新至安全版本：https://github.com/minio/minio/tags

https://vip.riskivy.com/detail/1638661911375646720

4.1.14 之前的 Apache OpenOffice 版本可能被配置为向 Java 类路径添加一个空条目。这可能会导致从当前目录运行任意 Java 代码。

注意：OpenOffice.org 版本也可能受到影响。

漏洞状态：

Apache OpenOffice <= 4.1.13

请使用此产品的用户尽快更新至安全版本：

https://www.openoffice.org/download/index.html

https://vip.riskivy.com/detail/1639326323895832576

Apache OpenOffice文档可以包含调用具有任意参数的内部宏的链接。链接可以通过点击，或通过自动的文档事件来激活，这种链接的执行必须要经过用户的同意。在受影响的OpenOffice版本中，某些链接不需要授权，这些链接可能会导致任意的脚本执行。

注意：OpenOffice.org 版本也可能受到影响。

漏洞状态：

Apache OpenOffice <= 4.1.13

请使用此产品的用户尽快更新至安全版本：https://www.openoffice.org/download/index.html

暂时不能升级的用户参考禁用宏方案：

点击工具->选项，然后在左边的树形菜单中展开OpenOffice。

点击安全，然后点击宏安全按钮。

将安全级别设置为非常高，然后不要列出任何可信的文件位置。这样，用户就不会被给予启用宏的选项。

https://vip.riskivy.com/detail/1639326357446070272

FortiWeb 是 Fortinet 的 Web 应用防火墙，可保护您的关键业务 Web 应用免受针对已知和未知漏洞的攻击。

Fortinet FortiWeb在7.0.0-7.0.2、6.3.6-6.3.20、6.4所有版本中存在命令注入漏洞，在命令中使用特殊字符进行拼接，允许攻击者通过特别制作的HTTP请求执行代码或命令。

漏洞状态：

FortiWeb version 7.0.0 - 7.0.2

FortiWeb version 6.3.6 - 6.3.20

FortiWeb 6.4 全版本

请使用此产品的用户尽快更新安全补丁：https://www.fortiguard.com/psirt/FG-IR-22-254

https://vip.riskivy.com/detail/1633165738103672832

FortiProxy是一个安全的Web代理，通过整合多种检测技术，如Web过滤、DNS过滤、数据丢失防护、防病毒、入侵防护和高级威胁防护，保护员工免受互联网传播的攻击。FortiProxy有助于降低带宽需求，并通过内容和视频缓存优化网络。

FortiOS和FortiProxy在多个版本中存在缓冲区溢出漏洞，其管理界面中存在一个缓冲区溢出漏洞，可能允许远程攻击。

漏洞状态：

FortiOS version 7.2.0 ~ 7.2.3

FortiOS version 7.0.0 ~ 7.0.9

FortiOS version 6.4.0 ~ 6.4.11

FortiOS version 6.2.0 ~ 6.2.12

FortiOS 6.0 全版本

FortiProxy version 7.2.0 ~ 7.2.2

FortiProxy version 7.0.0 ~ 7.0.8

FortiProxy version 2.0.0 ~ 2.0.11

FortiProxy 1.2 全版本

FortiProxy 1.1 全版本

请使用此产品的用户尽快更新至安全版本：https://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml#zerodayfeb1

https://vip.riskivy.com/detail/1633303778440646656