欢迎关注

腾讯安全威胁情报中心

2023年2月，微软发布了2023年2月安全更新补丁，此次共发布了75个漏洞的补丁程序，其中包含9个严重漏洞。本次发布涉及多个软件的安全更新，包括.NET and Visual Studio、.NET Framework、Microsoft Defender for Endpoint、Microsoft Word、Microsoft Dynamics、Microsoft Exchange Server等产品。上述漏洞中危害性较高的是Microsoft Exchange Server 多个远程代码执行漏洞，漏洞编号分别为CVE-2023-21707（CNNVD编号：CNNVD-202302-1103）、CVE-2023-21706（CNNVD编号：CNNVD-202302-1102）、CVE-2023-21529（CNNVD编号：CNNVD-202302-1075）。

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

据描述，上述漏洞允许经过身份认证的远程攻击者在服务器账户的上下文中执行任意代码。

风险等级：

影响版本：

修复建议：

官方已发布漏洞补丁及修复版本，可以评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

腾讯安全近期监测到Oracle官方发布了关于Oracle E-Business Suite的风险公告，漏洞编号为：CVE-2022-21587（CNNVD编号：CNNVD-202210-1279）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意命令。

Oracle E-Business Suite是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。

据描述，Oracle E-Business Suite 的 Oracle Web Applications Desktop Integrator 12.2.3-12.2.11 版本存在安全漏洞。未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Web Applications Desktop Integrator，成功利用此漏洞可导致 Oracle Web Applications Desktop Integrator 被接管。

漏洞状态：

风险等级：

影响版本：

12.2.3 <= Oracle E-Business Suite <= 12.2.11

腾讯安全近期监测到Smartbi官方发布安全更新，其中包含Smartbi远程命令执行漏洞，漏洞编号暂无。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意命令。

Smartbi是思迈特软件推出的商业智能BI软件，满足BI产品的发展阶段。思迈特软件整合了各行业的数据分析和决策支持的功能需求，满足最终用户在企业级报表、数据可视化分析、自助探索分析、数据挖掘建模、AI 智能分析等场景的大数据分析需求。

据描述，Smartbi大数据分析平台存在远程命令执行漏洞，未经身份认证的远程攻击者可利用stub接口构造请求绕过补丁限制，进而控制JDBC URL，最终可导致远程代码执行或信息泄露。

漏洞状态：

风险等级：

影响版本：

v7 <= Smartbi <= v10.5.8

修复建议：

概述：

腾讯安全近期监测到Apache官方发布了关于 Apache Kafka 的风险公告，漏洞编号为：CVE-2023-25194（CNNVD编号：CNNVD-202302-515）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意命令。

Apache Kafka是美国阿帕奇（Apache）基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据，用于构建对数据流的变化进行实时反应的应用程序。

据描述，Apache Kafka Connect 服务在 2.3.0 至 3.3.2 版本中，由于连接时支持使用基于 JNDI 认证的 SASL JAAS 配置，导致配置在攻击者可控的情况下，可能通过 JNDI 注入执行任意代码。

2.3.0 <= Apache Kafka <= 3.3.2

概述：

腾讯安全近期监测到IBM官方发布了关于WebSphere Application Server的风险公告，漏洞编号为：CVE-2023-23477（CNNVD编号：CNNVD-202302-119）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。

据描述，由于WebSphere Application Server对用户输入数据的验证存在缺陷，在特定条件下，未经身份验证的远程攻击者通过构造恶意的序列化数据，可实现在目标服务器上任意执行代码。

漏洞状态：

风险等级：

影响版本：

9.0.0.0 <= IBM WebSphere Application Server <= 9.0.5.7

8.5.0.0 <= IBM WebSphere Application Server <= 8.5.5.19

修复建议：

腾讯安全近期监测到F5官方发布了关于BIG-IP的风险公告，漏洞编号为：CVE-2023-22374（CNNVD编号：CNNVD-202302-092）。成功利用此漏洞的攻击者，最终可导致进程崩溃或远程执行任意代码。

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

据描述，BIG-IP中的iControl SOAP存在格式化字符串漏洞，允许经过身份验证的攻击者通过 BIG-IP 管理端口和/或自身 IP 地址对 iControl SOAP 进行网络访问，从而在 iControl SOAP CGI 进程上造成拒绝服务 (DoS) 或可能执行任意系统命令。

F5 BIG-IP 17.0.0

16.1.2.2 <= F5 BIG-IP <= 16.1.3

15.1.5.1 <= F5 BIG-IP <= 15.1.8

14.1.4.6 <= F5 BIG-IP <= 14.1.5

F5 BIG-IP 13.1.5

官方暂未发布漏洞补丁及修复版本，可通过以下临时防护措施防止遭遇攻击：

在不影响业务的情况下，可根据官方文档设置对BIG-IP系统的管理接口和自身IP地址进行访问限制：

1. 对于自己的 IP 地址：

https://my.f5.com/manage/s/article/K48615077

https://my.f5.com/manage/s/article/K17333

https://my.f5.com/manage/s/article/K31003634

https://my.f5.com/manage/s/article/K51358480

2. 对于管理界面：

https://my.f5.com/manage/s/article/K46122561

https://my.f5.com/manage/s/article/K69354049

3. 对iControl SOAP API 进行访问限制。

若用户不使用iControl SOAP API，则可以通过将iControl SOAP API的允许列表设置为空列表来禁止所有访问，操作如下：

tmsh

modify /sys icontrol-soap allow replace-all-with { }

save /sys config

【备注】：建议您在升级前做好数据备份工作，避免出现意外

概述：

腾讯安全近期监测到某安全人员发布了关于ThinkPHP的风险公告，漏洞编号为：CVE-2022-45982（CNNVD编号：CNNVD-202302-618）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

ThinkPHP是中国顶想信息科技公司的一套基于PHP的、开源的、轻量级Web应用程序开发框架。

据描述，ThinkPHP在受影响版本内存在反序列化漏洞，当应用代码中存在将用户输入的数据进行反序列化操作的端点时，如unserialize($input)，攻击者可以通过Request->Store->Channel->Url->Pivot 类来构造恶意payload进而执行任意系统命令。

漏洞状态：

风险等级：

影响版本：

6.0.0 <= thinkphp <= 6.0.13

6.1.0 <= thinkphp <= 6.1.1

修复建议：

概述：

微软发布的2023年2月安全更新补丁漏洞中，危害性较高的还有Microsoft Word远程代码执行漏洞，漏洞编号为CVE-2023-21716(CNNVD编号：CNNVD-202302-1110)，成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Microsoft Word是美国微软（Microsoft）公司的一套Office套件中的文字处理软件。

据描述， Microsoft Word的RTF解析器（wwlib）中存在远程代码执行漏洞，攻击者可以制作包含过多字体表项的RTF文件，并诱导用户打开来利用此漏洞。攻击者可利用多种方式诱导用户下载并打开特制文档，如电子邮件、即时消息等等。用户使用预览窗格也会触发此漏洞。成功利用此漏洞可能在目标系统上以该用户权限执行代码。

漏洞状态：

风险等级：

影响版本：

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

修复建议：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

概述：

腾讯安全近期监测到vBulletin发布了关于vBulletin的风险公告，漏洞编号为：CVE-2023-25135（CNNVD编号：CNNVD-202302-194）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

vBulletin 是一个强大，灵活并可完全根据自己的需要定制的论坛程序套件。

据描述，vBulletin存在反序列化漏洞，未经身份验证的远程攻击者能够通过精心设计的HTTP请求触发反序列化，从而执行任意代码。

漏洞状态：

风险等级：

影响版本：

vbulletin 5.6.7

vbulletin 5.6.8

vbulletin 5.6.9

修复建议：

https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4473890-vbulletin-5-6-9-security-patch

概述：

腾讯安全近期监测到Fortinet 发布了关于FortiNAC的风险公告，漏洞编号为：CVE-2022-39952（CNNVD编号：CNNVD-202302-1434）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Fortinet FortiNAC是美国飞塔（Fortinet）公司的一种零信任访问解决方案。

据描述，Fortinet FortiNAC中存在安全漏洞，攻击者可以通过特制的HTTP请求执行未经授权的代码或命令。

漏洞状态：

风险等级：

影响版本：

8.3.7 <= FortiNAC <= 8.8.9

9.1.0 <= FortiNAC < 9.1.8

9.2.0<= FortiNAC < 9.2.6

9.4.0<= FortiNAC < 9.4.1

修复建议：

https://fortiguard.com/psirt/FG-IR-22-300

概述：

腾讯安全近期监测到IBM发布了关于Aspera Faspex的风险公告，漏洞编号为：CVE-2022-47986（CNNVD编号：CNNVD-202302-1509）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

IBM Aspera是美国国际商业机器（IBM）公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。

据描述，IBM Aspera 4.4.2 Patch Level 1版本及之前版本存在代码问题漏洞，该漏洞源于YAML反序列化缺陷，攻击者可以利用该漏洞在系统上执行任意代码。

漏洞状态：

风险等级：

影响版本：

Aspera <= 4.4.2 Patch Level 1

修复建议：

https://www.ibm.com/support/pages/node/6952319

概述：

腾讯安全近期监测到Fortra 发布了关于GoAnywhere的风险公告，漏洞编号为：CVE-2023-0669（CNNVD编号：CNNVD-202302-398）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

GoAnywhere MFT是美国Fortra公司的一款托管文件传输软件。

据描述，GoAnywhere MFT存在安全漏洞，该漏洞源于身份验证不正确，从而导致命令注入，最终可实现在目标服务器上任意执行代码。

漏洞状态：

风险等级：

影响版本：

GoAnywhere < 7.1.2

修复建议：

https://hstechdocs.helpsystems.com/releasenotes/Content/_ProductPages/GoAnywhere/GAMFT.htm 

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

往期企业必修漏洞清单

• 2023年01月必修安全漏洞清单

• 2022年12月必修安全漏洞清单

• 2022年11月必修安全漏洞清单

• 2022年10月必修安全漏洞清单

• 2022年09月必修安全漏洞清单

• 2022年08月必修安全漏洞清单

• 2022年07月必修安全漏洞清单
  

• 2022年06月必修安全漏洞清单
• 2022年05月必修安全漏洞清单
  
• 2022年04月必修安全漏洞清单
• 2022年03月必修安全漏洞清单
  
• 2022年02月必修安全漏洞清单
• 2022年01月必修安全漏洞清单
  
• 2021年12月必修安全漏洞清单
• 2021年11月必修安全漏洞清单