腾讯安全近期监测到MinIO官方发布了关于MinIO的风险公告，漏洞编号为：CVE-2023-28432（CNNVD编号：CNNVD-202303-1795）。成功利用此漏洞的攻击者，最终可获取部分环境变量信息，攻击者可利用其中的某些敏感信息以管理员身份登录后台。

MinIO是一款高性能的对象存储服务器，它兼容Amazon S3 API。它的设计目的是为了提供云存储服务的性能和可扩展性，同时还保持着本地存储的简单性和易用性。

据描述，当MinIO挂载4个及以上盘符时（集群模式默认满足条件），攻击者可以通过发送特制的请求获取MinIO的部分环境变量，其中包括 MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD。当攻击者获取到上述数据时，就能以管理员身份登录后台，从而获得整个应用的控制权限。

P.S. 攻击者获取管理员权限后，可通过自更新等方式实现远程命令执行，从而获得系统权限。

风险等级：

影响版本：

RELEASE.2019-12-17T23-16-33Z <= MinIO < RELEASE.2023-03-20T20-16-18Z

修复建议：

1. 官方已发布漏洞补丁及修复版本，可以评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/minio/minio/releases

2. 如果您无法升级软件到最新版本，建议您采取以下措施来保护自己的设备：

• 配置网络安全设备以阻止攻击流量。

• 实施访问控制策略，限制对受影响系统的访问。

• 监视网络流量以检测潜在的攻击行为。

• 定期备份数据并将其存储在安全位置。

腾讯安全近期监测到Nacos官方发布了关于Nacos的风险公告。成功利用此漏洞的攻击者，最终可以绕过身份验证进入后台。

Nacos是一个易于使用的平台，专为动态服务发现和配置以及服务管理而设计，可以帮助用户轻松构建云原生应用程序和微服务平台，能够无缝对接Springcloud、Spring、Dubbo等流行框架。

据描述， 开源服务管理平台 Nacos 中存在身份认证绕过漏洞，在默认配置下未对 token.secret.key 进行修改，导致远程攻击者可以绕过密钥认证进入后台，造成系统受控等后果。

漏洞状态：

风险等级：

影响版本：

0.1.0 <= Nacos <=2.2.0

1. 检查application.properties文件中的token.secret.key属性，若为默认值，可参考官方文档https://nacos.io/zh-cn/docs/v2/guide/user/auth.html进行更改。

2. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

https://github.com/alibaba/nacos/releases/tag/2.2.0.1

腾讯安全近期监测到Apache官方发布关于Dubbo的风险公告，漏洞编号为：CVE-2023-23638（CNNVD编号: CNNVD-202303-617）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Apache Dubbo 是一款开源的高性能的 Java RPC 框架，致力于提供高性能透明化的 RPC 远程服务调用方案，常用于开发微服务和分布式架构相关的需求。

据描述，由于Dubbo泛型调用中存在反序列化漏洞，未经身份验证的攻击者可以通过构造特殊的请求利用此漏洞，造成远程代码执行，从而获取远程服务器的权限。

漏洞状态：

风险等级：

影响版本：

2.7.0 <= Apache Dubbo <= 2.7.21

3.0.0 <= Apache Dubbo <= 3.0.13

3.1.0 <= Apache Dubbo <= 3.1.5

修复建议：

https://github.com/apache/dubbo/releases

2. 限制用户输入，过滤恶意数据，可以减少攻击者利用反序列化漏洞的可能性。

3. 配置黑白名单，限制可序列化的类集合。

4. 使用Java的安全管理器（SecurityManager）来限制反序列化操作的权限，例如限制访问文件系统、网络等操作。

概述：

2023年3月，微软发布了2023年3月安全更新补丁，此次共发布了83个漏洞的补丁程序，其中包含9个严重漏洞。本次发布涉及多个软件的安全更新，包括Windows Hyper-V、Microsoft Outlook、Microsoft Excel等产品。上述漏洞中危害性较高的是Microsoft Outlook 权限提升漏洞，漏洞编号为CVE-2023-23397（CNNVD编号：CNNVD-202303-1036）。成功利用此漏洞的攻击者，最终可以获取受害者的用户权限。

Microsoft Office Outlook是微软办公软件套装的组件之一，它对Windows自带的Outlook express的功能进行了扩充。Outlook的功能很多，可以用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。

据描述，攻击者可以发送特制的电子邮件，使受害者与攻击者控制的外部 UNC 位置建立连接，这将使得攻击者获得受害者的 Net-NTLMv2 哈希，最终攻击者将其转发给另一个服务并作为受害者进行身份验证。

Microsoft Outlook 2016 (64-bit edition)

Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

Microsoft Outlook 2013 RT Service Pack 1

Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2019 for 32-bit editions

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

修复建议：

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397

2. 对于无法立即进行漏洞修补的用户，专家建议管理员应该使用边界防火墙、本地防火墙和VPN设置来阻止TCP 445/SMB出站流量。这一操作可以防止NTLM身份验证消息传输到远端文件共享，有助于缓解CVE-2023-23397问题。

概述：

腾讯安全近期监测到3CX官方发布了关于3CXDesktop App的风险公告，漏洞编号为：CVE-2023-29059（CNNVD编号：CNNVD-202303-2681）。3CX Desktop App部分版本遭受供应链攻击，攻击者最终可远程在目标系统上执行任意代码。

3CXDesktop App 是一款跨平台桌面电话应用程序，适用于Linux、MacOS 和 Windows。3CXDesktop 允许用户通过聊天、消息、视频和语音进行交互。3CX在全球190多个国家和地区提供服务，拥有超过1200万日活用户和60万以上的客户群体。其网站上列出的客户包括汽车、航空航天、金融、食品饮料、政府、酒店和制造等多个行业的知名企业。

据描述，3CXDesktop App部分版本遭受供应链攻击，受影响的Desktop App安装包内包含了两个恶意 DLL 文件：ffmpeg.dll 和 d3dcompiler_47.dll。上述两个文件在用户安装时加载并执行，攻击者通过该恶意文件执行远程代码并窃取用户敏感信息。

漏洞状态：

风险等级：

影响版本：

Mac 3CXDesktop App 18.11.1213

Mac 3CXDesktop App 18.12.402

Mac 3CXDesktop App 18.12.407

Mac 3CXDesktop App 18.12.416

Windows 3CXDesktop App 18.12.407

修复建议：

https://www.3cx.com/blog/news/desktopapp-security-alert/

腾讯安全近期监测到Adobe官方发布了关于Adobe ColdFusion的风险公告，漏洞编号为：CVE-2023-26360（CNNVD编号：CNNVD-202303-1239）。成功利用此漏洞的攻击者，最终可远程在目标系统上执行任意代码。

Adobe ColdFusion是美国 Adobe 公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。

据描述，Adobe ColdFusion存在访问控制不当漏洞，攻击者可在未经身份验证的情况下利用该漏洞执行任意代码，且无需用户交互。

2018 <= Adobe Coldfusion <= 2018 update15

2021 <= Adobe Coldfusion <= 2021 update5

2. 限制访问ColdFusion服务的IP地址，只允许受信任的IP地址访问。

概述：

腾讯安全近期监测到pfSense官方发布了关于pfSense的风险公告，漏洞编号为：CVE-2023-27100（CNNVD编号：CNNVD-202303-1811）。成功利用此漏洞的攻击者，最终可绕过pfSense的防爆破机制暴力破解密码。

pfSense是一个基于FreeBSD，专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在，并以可靠性著称，且提供往往只存在于昂贵商业防火墙的特性。它可以通过WEB页面进行配置，升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙，路由器，无线接入点，DHCP服务器，DNS服务器和VPN端点。

据描述，该漏洞源于pfSense的SSHGuard 组件对过度身份验证尝试的不当限制，攻击者可以通过精心设计的Web请求绕过防爆破机制。

漏洞状态：

风险等级：

影响版本：

pfSense Plus v22.05.1

pfSense CE v2.6.0

修复建议：

https://redmine.pfsense.org/issues/13574

* 以上漏洞的修复建议，由安全专家审核并融合了AI生成的建议。

* 漏洞评分为腾讯安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。