圖1 CNVD收錄漏洞近10周平均分(fēn)值分(fēn)布圖

圖2 CNVD 0day漏洞總數按周統計

紫光軟件系統有(yǒu)限公(gōng)司、重慶中(zhōng)聯信息産(chǎn)業有(yǒu)限責任公(gōng)司、重慶國(guó)翰能(néng)源發展有(yǒu)限公(gōng)司、中(zhōng)銀金融科(kē)技(jì )有(yǒu)限公(gōng)司、中(zhōng)天城投集團物(wù)業管理(lǐ)有(yǒu)限公(gōng)司、中(zhōng)汽數據有(yǒu)限公(gōng)司、中(zhōng)國(guó)郵政速遞物(wù)流股份有(yǒu)限公(gōng)司、中(zhōng)版文(wén)化傳播有(yǒu)限公(gōng)司、智業軟件股份有(yǒu)限公(gōng)司、智業互聯（廈門）健康科(kē)技(jì )有(yǒu)限公(gōng)司、智互聯（深圳）科(kē)技(jì )有(yǒu)限公(gōng)司、鄭州市金水區(qū)恒友攝影軟件經營部、鄭州力通水務(wù)有(yǒu)限公(gōng)司、浙江宇視科(kē)技(jì )有(yǒu)限公(gōng)司、漳州市芗城帝興軟件開發有(yǒu)限公(gōng)司、雲内控科(kē)技(jì )有(yǒu)限公(gōng)司、雲南雲才人力資源咨詢有(yǒu)限公(gōng)司、友訊電(diàn)子設備（上海）有(yǒu)限公(gōng)司、用(yòng)友網絡科(kē)技(jì )股份有(yǒu)限公(gōng)司、盈富量化信息技(jì )術有(yǒu)限公(gōng)司、兄弟(dì)（中(zhōng)國(guó)）商(shāng)業有(yǒu)限公(gōng)司、西安(ān)衆邦網絡科(kē)技(jì )有(yǒu)限公(gōng)司、武漢微問網絡科(kē)技(jì )有(yǒu)限公(gōng)司、武漢天地偉業科(kē)技(jì )有(yǒu)限公(gōng)司、武漢今客軟件有(yǒu)限公(gōng)司、武漢富思特創新(xīn)信息技(jì )術有(yǒu)限公(gōng)司、無錫一族科(kē)技(jì )有(yǒu)限公(gōng)司、網件（北京）網絡技(jì )術有(yǒu)限公(gōng)司、萬興科(kē)技(jì )集團股份有(yǒu)限公(gōng)司、萬商(shāng)雲集（成都）科(kē)技(jì )股份有(yǒu)限公(gōng)司、外語教學(xué)與研究出版社有(yǒu)限責任公(gōng)司、同望科(kē)技(jì )股份有(yǒu)限公(gōng)司、同程網絡科(kē)技(jì )股份有(yǒu)限公(gōng)司、天聞數媒科(kē)技(jì )（北京）有(yǒu)限公(gōng)司、天地偉業技(jì )術有(yǒu)限公(gōng)司、天寶莅德(dé)電(diàn)子科(kē)技(jì )（上海）有(yǒu)限公(gōng)司北京分(fēn)公(gōng)司、太原易思軟件技(jì )術有(yǒu)限公(gōng)司、蘇州巨細信息科(kē)技(jì )有(yǒu)限公(gōng)司、四川迅睿雲軟件開發有(yǒu)限公(gōng)司、深圳銀澎雲計算有(yǒu)限公(gōng)司、深圳市知學(xué)雲科(kē)技(jì )有(yǒu)限公(gōng)司、深圳市通恒偉創科(kē)技(jì )有(yǒu)限公(gōng)司、深圳市思迅軟件股份有(yǒu)限公(gōng)司、深圳市敏捷智盛網絡有(yǒu)限公(gōng)司、深圳市美科(kē)星通信技(jì )術有(yǒu)限公(gōng)司、深圳市科(kē)榮軟件股份有(yǒu)限公(gōng)司、深圳市吉祥騰達科(kē)技(jì )有(yǒu)限公(gōng)司、深圳市國(guó)信合成科(kē)技(jì )有(yǒu)限公(gōng)司、深圳市道爾智控科(kē)技(jì )股份有(yǒu)限公(gōng)司、深圳市安(ān)盟信息科(kē)技(jì )有(yǒu)限公(gōng)司、深圳華視美達信息技(jì )術有(yǒu)限公(gōng)司、深信服科(kē)技(jì )股份有(yǒu)限公(gōng)司、申瓯通信設備有(yǒu)限公(gōng)司、上海裝(zhuāng)盟信息科(kē)技(jì )有(yǒu)限公(gōng)司、上海萬欣計算機信息科(kē)技(jì )有(yǒu)限公(gōng)司、上海樹維信息科(kē)技(jì )有(yǒu)限公(gōng)司、上海穆雲智能(néng)科(kē)技(jì )有(yǒu)限公(gōng)司、上海肯特儀表股份有(yǒu)限公(gōng)司、上海泛微網絡科(kē)技(jì )股份有(yǒu)限公(gōng)司、上海伯俊軟件科(kē)技(jì )有(yǒu)限公(gōng)司、上海愛數信息技(jì )術股份有(yǒu)限公(gōng)司、陝西小(xiǎo)夥伴網絡科(kē)技(jì )有(yǒu)限公(gōng)司、山(shān)東五征集團有(yǒu)限公(gōng)司、山(shān)東濰大軟件有(yǒu)限公(gōng)司、山(shān)東山(shān)大電(diàn)力技(jì )術股份有(yǒu)限公(gōng)司、廈門四信通信科(kē)技(jì )有(yǒu)限公(gōng)司、廈門科(kē)拓通訊技(jì )術股份有(yǒu)限公(gōng)司、潤申信息科(kē)技(jì )（上海）有(yǒu)限公(gōng)司、瑞納智能(néng)設備股份有(yǒu)限公(gōng)司、銳珂（上海）醫(yī)療器材有(yǒu)限公(gōng)司、青島聚城網絡科(kē)技(jì )有(yǒu)限公(gōng)司、普聯技(jì )術有(yǒu)限公(gōng)司、鵬為(wèi)軟件股份有(yǒu)限公(gōng)司、諾盾科(kē)技(jì )有(yǒu)限公(gōng)司、南甯邁世信息技(jì )術有(yǒu)限公(gōng)司、南京湧億思信息技(jì )術有(yǒu)限公(gōng)司、邁普通信技(jì )術股份有(yǒu)限公(gōng)司、臨沂科(kē)銳電(diàn)子有(yǒu)限公(gōng)司、理(lǐ)光（中(zhōng)國(guó)）投資有(yǒu)限公(gōng)司、樂山(shān)易通天下網絡科(kē)技(jì )有(yǒu)限公(gōng)司、廊坊市極緻網絡科(kē)技(jì )有(yǒu)限公(gōng)司、藍網科(kē)技(jì )股份有(yǒu)限公(gōng)司、江蘇綠港現代農業發展股份有(yǒu)限公(gōng)司、江蘇冠宇科(kē)技(jì )集團有(yǒu)限公(gōng)司、濟南沐陽信息技(jì )術有(yǒu)限公(gōng)司、吉翁電(diàn)子（深圳）有(yǒu)限公(gōng)司、淮南市銀泰軟件科(kē)技(jì )有(yǒu)限公(gōng)司、湖(hú)北點點點科(kē)技(jì )有(yǒu)限公(gōng)司、洪湖(hú)爾創網聯信息技(jì )術有(yǒu)限公(gōng)司、河南中(zhōng)翎工(gōng)程建設有(yǒu)限公(gōng)司、和宇健康科(kē)技(jì )股份有(yǒu)限公(gōng)司、杭州雄偉科(kē)技(jì )開發股份有(yǒu)限公(gōng)司、杭州先鋒電(diàn)子技(jì )術股份有(yǒu)限公(gōng)司、杭州叁體(tǐ)網絡科(kē)技(jì )有(yǒu)限公(gōng)司、杭州海康威視數字技(jì )術股份有(yǒu)限公(gōng)司、海南道仁網絡科(kē)技(jì )有(yǒu)限公(gōng)司、海口快推科(kē)技(jì )有(yǒu)限公(gōng)司、國(guó)交信息股份有(yǒu)限公(gōng)司、貴州永恒光科(kē)技(jì )有(yǒu)限公(gōng)司、廣州訊爾軟件科(kē)技(jì )有(yǒu)限公(gōng)司、廣州圖創計算機軟件開發有(yǒu)限公(gōng)司、廣州速盈信息科(kē)技(jì )有(yǒu)限公(gōng)司、廣州思邁特軟件有(yǒu)限公(gōng)司、廣州市天翎網絡科(kē)技(jì )有(yǒu)限公(gōng)司、廣州市歡雀科(kē)技(jì )有(yǒu)限公(gōng)司、廣州科(kē)稅信息科(kē)技(jì )有(yǒu)限公(gōng)司、廣州華的網絡科(kē)技(jì )有(yǒu)限公(gōng)司、廣州恒企教育科(kē)技(jì )有(yǒu)限公(gōng)司、廣州鼎甲計算機科(kē)技(jì )有(yǒu)限公(gōng)司、廣西青椰網絡科(kē)技(jì )有(yǒu)限公(gōng)司、廣聯達科(kē)技(jì )股份有(yǒu)限公(gōng)司、廣東飛企互聯科(kē)技(jì )股份有(yǒu)限公(gōng)司、福建銀達彙智信息科(kē)技(jì )股份有(yǒu)限公(gōng)司、東莞市智躍軟件科(kē)技(jì )有(yǒu)限公(gōng)司、鼎捷軟件股份有(yǒu)限公(gōng)司、大連金馬衡器有(yǒu)限公(gōng)司、大連富豪科(kē)技(jì )有(yǒu)限公(gōng)司、大華（集團）有(yǒu)限公(gōng)司、達索析統（上海）信息技(jì )術有(yǒu)限公(gōng)司、傳化上合（青島）國(guó)際經貿有(yǒu)限公(gōng)司、成都虛谷偉業科(kē)技(jì )有(yǒu)限公(gōng)司、成都天問互聯科(kē)技(jì )有(yǒu)限公(gōng)司、成都任我行軟件股份有(yǒu)限公(gōng)司、彩訊科(kē)技(jì )股份有(yǒu)限公(gōng)司、采采網絡技(jì )術有(yǒu)限公(gōng)司、北京中(zhōng)盈安(ān)信技(jì )術服務(wù)股份有(yǒu)限公(gōng)司、北京中(zhōng)科(kē)聚網信息技(jì )術有(yǒu)限公(gōng)司、北京緻遠(yuǎn)互聯軟件股份有(yǒu)限公(gōng)司、北京正影網絡科(kē)技(jì )有(yǒu)限公(gōng)司、北京澤元迅長(cháng)軟件有(yǒu)限公(gōng)司、北京億賽通科(kē)技(jì )發展有(yǒu)限責任公(gōng)司、北京星網銳捷網絡技(jì )術有(yǒu)限公(gōng)司、北京象新(xīn)力科(kē)技(jì )有(yǒu)限公(gōng)司、北京通達信科(kē)科(kē)技(jì )有(yǒu)限公(gōng)司、北京碩人時代科(kē)技(jì )股份有(yǒu)限公(gōng)司、北京啓明星辰信息安(ān)全技(jì )術有(yǒu)限公(gōng)司、北京派網軟件有(yǒu)限公(gōng)司、北京迷彩虎科(kē)技(jì )有(yǒu)限公(gōng)司、北京獵鷹安(ān)全科(kē)技(jì )有(yǒu)限公(gōng)司、北京久其軟件股份有(yǒu)限公(gōng)司、北京京東叁佰陸拾度電(diàn)子商(shāng)務(wù)有(yǒu)限公(gōng)司、北京金盤鵬圖軟件技(jì )術有(yǒu)限公(gōng)司、北京金和網絡股份有(yǒu)限公(gōng)司、北京飛書科(kē)技(jì )有(yǒu)限公(gōng)司、北京創新(xīn)樂知網絡技(jì )術有(yǒu)限公(gōng)司、北京北大方正電(diàn)子有(yǒu)限公(gōng)司、北京百卓網絡技(jì )術有(yǒu)限公(gōng)司、北京百度網訊科(kē)技(jì )有(yǒu)限公(gōng)司、北京安(ān)信立融科(kē)技(jì )股份有(yǒu)限公(gōng)司、奧丁創新(xīn)科(kē)技(jì )（吉林）有(yǒu)限公(gōng)司、安(ān)徽旭帆信息科(kē)技(jì )有(yǒu)限公(gōng)司和Sapido Technology Inc。

本周，CNVD發布了《Oracle發布2023年10月的安(ān)全公(gōng)告》。詳情參見CNVD網站公(gōng)告内容。

https://www.cnvd.org.cn/webinfo/show/9386

本周，CNVD整理(lǐ)和發布以下重要安(ān)全漏洞信息。

1、Microsoft産(chǎn)品安(ān)全漏洞

Microsoft Edge是美國(guó)微軟（Microsoft）公(gōng)司的一款Windows 10之後版本系統附帶的Web浏覽器。本周，上述産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞在系統上獲取更高的權限。

CNVD收錄的相關漏洞包括：Microsoft Edge權限提升漏洞（CNVD-2023-76758、CNVD-2023-76759、CNVD-2023-76760、CNVD-2023-76761、CNVD-2023-76762、CNVD-2023-76763、CNVD-2023-76764、CNVD-2023-76765）。其中(zhōng)，除“Microsoft Edge權限提升漏洞（CNVD-2023-76762、CNVD-2023-76763）”外其餘漏洞的綜合評級為(wèi)“高危”。目前，廠商(shāng)已經發布了上述漏洞的修補程序。CNVD提醒用(yòng)戶及時下載補丁更新(xīn)，避免引發漏洞相關的網絡安(ān)全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76758

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76759

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76760

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76761

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76762

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76763

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76764

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76765

2、IBM産(chǎn)品安(ān)全漏洞

IBM Aspera是美國(guó)國(guó)際商(shāng)業機器（IBM）公(gōng)司的一套基于IBM FASP協議構建的快速文(wén)件傳輸和流解決方案。本周，上述産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞使用(yòng)特制的XML輸入獲取敏感的憑據信息，導緻緩沖區(qū)溢出并在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Aspera Cargo and IBM Aspera Connect信息洩露漏洞、IBM Aspera Faspex信息洩露漏洞（CNVD-2023-76768、CNVD-2023-76766、CNVD-2023-76773）、IBM Aspera Faspex安(ān)全繞過漏洞、IBM Aspera Cargo and IBM Aspera Connect代碼執行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo緩沖區(qū)溢出漏洞。其中(zhōng)，“IBM Aspera Cargo and IBM Aspera Connect代碼執行漏洞（CNVD-2023-76772、CNVD-2023-76771）、IBM Aspera Connect and IBM Aspera Cargo緩沖區(qū)溢出漏洞”漏洞的綜合評級為(wèi)“高危”。目前，廠商(shāng)已經發布了上述漏洞的修補程序。CNVD提醒用(yòng)戶及時下載補丁更新(xīn)，避免引發漏洞相關的網絡安(ān)全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76769

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76768

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76767

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76766

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76773

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76772

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76771

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76770

3、Adobe産(chǎn)品安(ān)全漏洞

Adobe Photoshop是美國(guó)奧多(duō)比（Adobe）公(gōng)司的一套圖片處理(lǐ)軟件。該軟件主要用(yòng)于處理(lǐ)圖片。Adobe Bridge是一款功能(néng)強大的創意資源管理(lǐ)器，可(kě)讓用(yòng)戶快速輕松地預覽、組織、編輯和發布多(duō)個創意資源，編輯元數據，為(wèi)素材資源添加關鍵字、标簽和評分(fēn)。Adobe Bridge使用(yòng)集合組織資産(chǎn)，并使用(yòng)強大的過濾器和高級元數據搜索功能(néng)查找資産(chǎn)。Adobe Illustrator是一套基于向量的圖像制作(zuò)軟件。Adobe After Effects是一套視覺效果和動态圖形制作(zuò)軟件，該軟件主要用(yòng)于2D和3D合成、動畫制作(zuò)和視覺特效制作(zuò)等。Adobe InDesign是一套排版編輯應用(yòng)程序。本周，上述産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞繞過ASLR等緩解措施，導緻敏感内存洩露，導緻緩沖區(qū)溢出或堆溢出，在當前用(yòng)戶的上下文(wén)中(zhōng)執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Photoshop緩沖區(qū)溢出漏洞（CNVD-2023-76927）、Adobe Bridge越界讀取漏洞（CNVD-2023-76928）、Adobe Illustrator緩沖區(qū)溢出漏洞（CNVD-2023-76932、CNVD-2023-76930、CNVD-2023-76935、CNVD-2023-76933）、Adobe After Effects越界讀取漏洞（CNVD-2023-76938）、Adobe InDesign緩沖區(qū)溢出漏洞（CNVD-2023-76940）。其中(zhōng)，除“Adobe Bridge越界讀取漏洞（CNVD-2023-76928）”外其餘漏洞的綜合評級為(wèi)“高危”。目前，廠商(shāng)已經發布了上述漏洞的修補程序。CNVD提醒用(yòng)戶及時下載補丁更新(xīn)，避免引發漏洞相關的網絡安(ān)全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76927

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76928

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76932

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76930

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76935

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76933

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76938

https://www.cnvd.org.cn/flaw/show/CNVD-2023-76940

4、DELL産(chǎn)品安(ān)全漏洞

Dell SmartFabric Storage Software是美國(guó)戴爾（Dell）公(gōng)司的一個獨立的存儲軟件解決方案。Dell Wyse Management Suite是一套用(yòng)于管理(lǐ)和優化Wyse端點的、可(kě)擴展的解決方案。該産(chǎn)品包括Wyse端點集中(zhōng)管理(lǐ)、資産(chǎn)追蹤和自動設備發現等功能(néng)。本周，上述産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞讀取寫入日志(zhì)文(wén)件的敏感信息，導緻未經授權的數據訪問，在系統上執行任意命令等。

CNVD收錄的相關漏洞包括：Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software輸入驗證錯誤漏洞、Dell SmartFabric Storage Software權限提升漏洞、Dell SmartFabric Storage Software路徑遍曆漏洞、Dell SmartFabric Storage Software訪問控制錯誤漏洞、Dell SmartFabric Storage Software操作(zuò)系統命令注入漏洞（CNVD-2023-77958、CNVD-2023-78231）、Dell Wyse Management Suite信息洩露漏洞。其中(zhōng)，“Dell SmartFabric storage software命令注入漏洞、Dell SmartFabric Storage Software權限提升漏洞、Dell SmartFabric Storage Software操作(zuò)系統命令注入漏洞”漏洞的綜合評級為(wèi)“高危”。目前，廠商(shāng)已經發布了上述漏洞的修補程序。CNVD提醒用(yòng)戶及時下載補丁更新(xīn)，避免引發漏洞相關的網絡安(ān)全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77953

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77954

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77955

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77956

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77957

https://www.cnvd.org.cn/flaw/show/CNVD-2023-77958

https://www.cnvd.org.cn/flaw/show/CNVD-2023-78231

https://www.cnvd.org.cn/flaw/show/CNVD-2023-78233

5、D-Link DIR-806命令執行漏洞

D-Link DIR-806是中(zhōng)國(guó)友訊（D-Link）公(gōng)司的一款無線(xiàn)路由器。本周，D-Link DIR-806被披露存在命令執行漏洞。攻擊者可(kě)利用(yòng)該漏洞在系統上執行任意命令。目前，廠商(shāng)尚未發布上述漏洞的修補程序。CNVD提醒廣大用(yòng)戶随時關注廠商(shāng)主頁(yè)，以獲取最新(xīn)版本。

小(xiǎo)結：本周，Microsoft産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞在系統上獲取更高的權限。此外，IBM、Adobe、Dell等多(duō)款産(chǎn)品被披露存在多(duō)個漏洞，攻擊者可(kě)利用(yòng)漏洞讀取寫入日志(zhì)文(wén)件的敏感信息，使用(yòng)特制的XML輸入獲取敏感的憑據信息，導緻緩沖區(qū)溢出或堆溢出，在當前用(yòng)戶的上下文(wén)中(zhōng)執行任意代碼等。另外，D-Link DIR-806被披露存在命令執行漏洞。攻擊者可(kě)利用(yòng)該漏洞在系統上執行任意命令。建議相關用(yòng)戶随時關注上述廠商(shāng)主頁(yè)，及時獲取修複補丁或解決方案。

本周重要漏洞攻擊驗證情況 

關注CNVD漏洞平台