Rezilion最近的一份報告揭示了2023年上半年發(fā)現(xiàn)的一些值得注意的漏洞，并提供了建議的修復策略。這些漏洞涉及各種來源，包括開發(fā)過程、開源軟件和供應鏈。

其中一個漏洞是Apache Superset (CVE-2023-27524)。在通用漏洞評分系統(tǒng)(CVSS) 9.8中，由于使用默認配置，關鍵漏洞將組織暴露給未經授權的訪問。

此外，PaperCut (CVE-2023-27350)和Fortinet FortiOS (CVE-2022-41328)漏洞允許攻擊者繞過身份驗證并使用系統(tǒng)權限執(zhí)行代碼。他們的CVSS評分分別為9.8分和7.1分。

報告中還提到了JsonWebToken漏洞(跟蹤CVE-2022-23529)。該漏洞是一個重大問題，最初分配了9.8的高CVSS分數。

然而，經過更仔細的檢查和徹底的分析，這個漏洞的嚴重性被重新評估，隨后撤回。這突出了細致的審查和社區(qū)積極參與在確保精確評估和有效緩解戰(zhàn)略方面的關鍵作用。

報告中提到的另一個漏洞(跟蹤CVE-2023-28858)的CVSS評分為3.7，影響了Open AI ChatGPT服務，導致用戶數據泄露。

Critical Start網絡威脅研究高級經理Callie Guenther解釋說:“盡管這個漏洞的CVSS得分相對較低，但由于各行各業(yè)越來越依賴人工智能服務，它引起了人們的關注。”

Guenther說:“安全團隊應該給予重視，因為即使是關鍵服務中的低嚴重性漏洞也會造成嚴重后果?！?/p>

報告指出，為了抵御不斷變化的網絡威脅，安全負責人和團隊必須隨時了解最新的漏洞，并采取積極措施減輕相關風險。

Vulcan Cyber的高級技術工程師邁克·帕金(Mike Parkin)解釋說:“列出一份最嚴重的漏洞清單通常是一項挑戰(zhàn)?！?/p>

這位安全專家還強調，在評估一個漏洞的嚴重性時，考慮各種因素的重要性，比如受影響目標的數量。

底線是，如果CVE應用于您的環(huán)境，您需要解決它。如果CVE存在漏洞，你現(xiàn)在就需要解決它。通過了解這些漏洞并實現(xiàn)建議的修復，組織可以加強防御并防止?jié)撛诘膿p害。