CNVD漏洞周报2023年第34期

2023年08月21日-2023年08月27日

字节跳动安全中心、珠海金山办公软件有限公司、重庆知翰合众科技有限公司、重庆市綦江区城市建设投资有限公司、重庆升话宝信息科技有限公司、重庆猫扑网络科技有限公司、中新网络信息安全股份有限公司、中出行科技集团（河南）有限公司、中保科技集團、郑州微厦计算机科技有限公司、浙江职信通信科技有限公司、浙江鸿星文具有限公司、浙江好络维医疗技术有限公司、掌如科技服务有限公司、长沙冉星信息科技有限公司、云之家网络（重庆）有限公司、昱能科技股份有限公司、友讯电子设备（上海）有限公司、用友网络科技股份有限公司、易如意、阳光电源股份有限公司、信呼、新云网科技集团股份有限公司、新天科技股份有限公司、新开普电子股份有限公司、夏普科技（上海）有限公司、西安华谊云信息科技有限公司、武汉烽火信息集成技术有限公司、无锡信捷电气股份有限公司、卫宁健康科技集团股份有限公司、潍坊家园驿站电子技术有限公司、微软（中国）有限公司、网是科技股份有限公司、万通CMS、天津天堰科技股份有限公司、天地（常州）自动化股份有限公司、台达集团、四川迅睿云软件开发有限公司、四川奇石缘科技股份有限公司、四川海底捞餐饮股份有限公司、曙光信息产业股份有限公司、施耐德电气（中国）有限公司、昇頻股份有限公司、深圳坐标软件集团有限公司、深圳智慧光迅信息技术有限公司、深圳市亿图软件有限公司、深圳市设施之家科技有限公司、深圳市跨境伙伴网络科技有限公司、深圳市酷瓜软件有限公司、深圳市科脉技术股份有限公司、深圳市精农富仓农业有限公司、深圳市吉祥腾达科技有限公司、深圳深知未来智能有限公司、申瓯通信设备有限公司、上海卓卓网络科技有限公司、上海瑞美信息技术有限公司、上海穆云智能科技有限公司、上海秒优供应链管理有限公司、上海寰创通信科技股份有限公司、上海斐讯数据通信技术有限公司、上海泛微网络科技股份有限公司、上海布雷德科技有限公司、山西风行测控股份有限公司、山东云时空信息科技有限公司 、山东潍大软件有限公司、山东大有医网医疗科技有限公司、山东博硕自动化技术有限公司、山东比特智能科技股份有限公司、厦门星纵物联科技有限公司、厦门网中网软件有限公司、厦门四信通信科技有限公司、普联技术有限公司、南宁火蝶科技有限公司、南京先极科技有限公司、南昌蓝智科技有限公司、绿盟科技集团股份有限公司、漯河市大有前途网络科技有限公司、洛阳云业信息科技有限公司、领航未来（北京）科技有限公司、联想集团、乐荐健康科技集团有限公司、浪潮通用软件有限公司、江西铭软科技有限公司、江苏有线邦联新媒体科技有限公司、江苏优度软件有限公司、江苏九一网络科技有限公司、佳能（中国）有限公司、吉翁电子（深圳）有限公司、华科网络技术开发、弘扬软件股份有限公司、弘成科技发展有限公司、河北中废通拍卖有限公司、杭州易软共创网络科技有限公司、杭州叙简科技股份有限公司、杭州雄伟科技开发股份有限公司、杭州新中大科技股份有限公司、杭州九麒科技有限公司、杭州今奥信息科技股份有限公司、杭州海康威视数字技术股份有限公司、海南翼智慧信息科技有限公司、哈尔滨伟成科技有限公司、国交信息股份有限公司、贵州觅新科技有限公司、广州图创计算机软件开发有限公司、广州思迈特软件有限公司、广州红帆科技有限公司、广联达科技股份有限公司、广东飞企互联科技股份有限公司、富士胶片商业创新（中国）有限公司、福建科立讯通信有限公司、菲尼克斯（中国）投资有限公司、顶点软件股份有限公司、帝国软件、成都双流阿如拉互联网医院有限公司、成都佳海信通网络技术有限公司、成都飞鱼星科技股份有限公司、成都铂贝科技有限公司、畅捷通信息技术股份有限公司、沧州市新星传媒、北京中科金马科技股份有限公司、北京致远互联软件股份有限公司、北京长亭未来科技有限公司、北京亿赛通科技发展有限责任公司、北京亚控科技发展有限公司、北京星网锐捷网络技术有限公司、北京五指互联科技有限公司、北京网康科技有限公司、北京通宇泰克科技股份有限公司、北京通达信科科技有限公司、北京硕人时代科技股份有限公司、北京数码视讯科技股份有限公司、北京欧倍尔软件技术开发有限公司、北京朗新天霁软件技术有限公司、北京昆仑亿发科技股份有限公司、北京金盘鹏图软件技术有限公司、北京金和网络股份有限公司、北京国通创安报警网络技术有限公司、北京辰信领创信息技术有限公司、北京百卓网络技术有限公司、北京奥博威斯科技有限公司、百度安全应急响应中心、安美世纪（北京）科技有限公司、安科瑞电气股份有限公司、安徽共生物流科技有限公司、爱普生（中国）有限公司、阿里巴巴集团安全应急响应中心、ZZCMS、YYCMS、SpringBootCMS、Sercomm、SEMCMS、RPCMS、jrecms和Dreamer CMS。

本周漏洞报送情况统计

本周漏洞按类型和厂商统计

本周行业漏洞收录情况

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft产品安全漏洞

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。Microsoft HEVC Video Extensions是美国微软（Microsoft）公司的一个视频扩展应用程序。该应用使计算机和设备可以读取高效视频编码或HEVC视频。Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2023-64864）、Microsoft Exchange Server远程代码执行漏洞（CNVD-2023-64865、CNVD-2023-64867、CNVD-2023-64868）、Microsoft Exchange Server权限提升漏洞（CNVD-2023-64869）、Microsoft HEVC Video Extensions远程代码执行漏洞（CNVD-2023-64870）、Microsoft SharePoint Server欺骗漏洞（CNVD-2023-64872、CNVD-2023-64873）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64864

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64865

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64867

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64868

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64869

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64870

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64872

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64873

2、MOXA产品安全漏洞

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64214

3、NETGEAR产品安全漏洞

NETGEAR R7100LG是美国网件（NETGEAR）公司的一款路由器。连接两个或多个网络的硬件设备，在网络间起网关的作用。NETGEAR R6900P是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR EX6200是美国网件（NETGEAR）公司的一款无线网络信号扩展器。NETGEAR DG834Gv5是美国网件（NETGEAR）公司的一款无线ADSL防火墙调制解调器。NETGEAR RBR750是美国网件（NETGEAR）公司的一套家庭WiFi系统。Netgear R6250是Netgear公司推出的一款路由器。NETGEAR XR300是美国网件（NETGEAR）公司的一款无线路由器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64073

4、IBM产品安全漏洞

IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞代码执行，导致拒绝服务。

CNVD收录的相关漏洞包括：IBM DB2拒绝服务漏洞（CNVD-2023-64876、CNVD-2023-64877、CNVD-2023-64878、CNVD-2023-64879、CNVD-2023-64880、CNVD-2023-64881、CNVD-2023-64882）、IBM DB2代码执行漏洞（CNVD-2023-64883）。其中，除“IBM DB2拒绝服务漏洞（CNVD-2023-64881）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

5、TeleAdapt RoomCast TA-2400权限提升漏洞

TeleAdapt RoomCast TA-2400是英国TeleAdapt公司的一款适用于客房的一体化、自带的顶级内容流媒体盒。本周，TeleAdapt RoomCast TA-2400被披露存在权限提升漏洞。该漏洞是由于Android Debug Bridge（ADB）的访问控制不当造成的。攻击者可利用该漏洞获得提升的root权限。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-64884

小结：本周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，提升权限，在系统上执行任意代码。此外，MOXA、NETGEAR、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞删除任意文件，在系统上执行任意代码或者导致拒绝服等。另外，TeleAdapt RoomCast TA-2400被披露存在权限提升漏洞。攻击者可利用该漏洞获得提升的root权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证情况