2023漏洞威胁分析报告.docx

深信服千里sangforDeepNsight深信服智安全

深信服千里

sangforDeepNsight

深信服智安全

2023漏洞威胁分析报告

2023VULNERABILITYTHREATANALYSISREPORT

千里目

千里目-深瞳漏洞实验室

引言

漏洞危害程度趋向高危化，未修补的漏洞依然是黑客利用的最主要攻击载体。

在国家级漏洞库披露的漏洞中，高危和超危漏洞占比超过50%，根据已知被利用漏洞（KEV）目录收录标准及近10年已知被漏洞利用情况分析总结，95%以上被利用漏洞是2023年以前漏洞。

2023年0day漏洞利用数量明显攀升，网络安全形势日益严峻。

从2014年到2023年，在野利用的0day数量整体呈上升趋势，近三年在野利用的0day漏洞数量占比为近十年在野利用的0day数量的50%。

热门漏洞逐渐趋向围绕开源软件漏洞。

2023年较为热门的漏洞多数为Apache开源软件，高危的开源软件漏洞危害大，且造成的影响范围更广，更易受到业内的关注。

本次报告将介绍2023年的整体漏洞态势，并从0day漏洞、开源软件漏洞、漏洞治理等三个方向展开谈一谈漏洞未来的演变趋势。

本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞳漏洞实验室，目的仅为帮助客户及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。

本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。

目···········

录引言

录

一、安全漏洞态势01

:安全漏洞治理情况01

国际安全漏洞治理动向01

我国在安全漏洞管理方面的发展现状概述02

安全漏洞总体情况03

漏洞公开披露情况03

漏洞利用情况05

年度热点漏洞分析07

AtlassianCon?uence权限提升漏洞(CVE-2023-22515)07

OracleWebLogicServer远程代码执行漏洞（CVE-2023-21931）10

ApacheActiveMQ远程命令执行漏洞(CVE-2023-46604)13

ApacheOFBiz远程代码执行漏洞(CVE-2023-51467)15

ApacheStruts2文件上传漏洞