信息安全漏洞周报（2023年第33期）

根据国家信息安全漏洞库（CNNVD）统计，本周（2023年8月14日至2023年8月20日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞484个。

接报漏洞情况

本周CNNVD接报漏洞20770个，其中信息技术产品漏洞（通用型漏洞）130个，网络信息系统漏洞（事件型漏洞）10个，漏洞平台推送漏洞20630个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞484个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有72个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到17.15%。新增漏洞中，超危漏洞38个，高危漏洞140个，中危漏洞294个，低危漏洞12个。

（一）安全漏洞增长数量情况

本周CNNVD采集安全漏洞484个。

图1 近五周漏洞新增数量统计图

（二）安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有72个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	WordPress基金会	72	14.88%
2	谷歌	62	12.81%
3	Broadcom	23	4.75%
4	Jenkins	19	3.93%
5	思科	17	3.51%

本周国内厂商漏洞47个，摩莎公司漏洞数量最多，有9个。国内厂商漏洞整体修复率为57.45%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到17.15%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	跨站脚本	83	17.15%
2	缓冲区错误	19	3.93%
3	SQL注入	17	3.51%
4	代码问题	11	2.27%
5	输入验证错误	6	1.24%
6	操作系统命令注入	5	1.03%
7	跨站请求伪造	5	1.03%
8	信息泄露	4	0.83%
9	访问控制错误	3	0.62%
10	授权问题	3	0.62%
11	资源管理错误	2	0.41%
12	命令注入	2	0.41%
13	日志信息泄露	2	0.41%
14	路径遍历	1	0.21%
15	代码注入	1	0.21%
16	环境问题	1	0.21%
17	其他	319	65.91%

（三）安全漏洞危害等级与修复情况

本周共发布超危漏洞38个，高危漏洞140个，中危漏洞294个，低危漏洞12个。相应修复率分别为60.53%、75.71%、78.23%和58.33%。根据补丁信息统计，合计366个漏洞已有修复补丁发布，整体修复率为75.62%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量（个）	修复数量（个）	修复率
1	超危	38	23	60.53%
2	高危	140	106	75.71%
3	中危	294	230	78.23%
4	低危	12	7	58.33%
合计		484	366	75.62%

（四）本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞	漏洞编号	厂商	漏洞实例	是否修复	危害等级
序号	类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	其他	CNNVD-202308-1481	IBM	IBM Security Guardium 安全漏洞	是	超危
2	其他	CNNVD-202308-1387	谷歌	Google Chrome 安全漏洞	是	高危
3	代码问题	CNNVD-202308-1402	WordPress基金会	WordPress plugin Remote Users Sync 代码问题漏洞	是	高危

1.IBM Security Guardium 安全漏洞（CNNVD-202308-1481）

IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。

IBM Security Guardium 10.6版本、11.3版本、11.4版本、11.5版本存在安全漏洞。攻击者利用该漏洞通过发送特制请求在系统上执行任意命令。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7027853

2.Google Chrome 安全漏洞（CNNVD-202308-1387）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 116.0.5845.96之前版本存在安全漏洞，该漏洞源于设备信任连接器中存在内存释放后重用问题。攻击者利用该漏洞通过特制的HTML导致堆损坏，从而强制关闭浏览器。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

3.WordPress plugin Remote Users Sync 代码问题漏洞（CNNVD-202308-1402）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Remote Users Sync 1.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞可以向应用程序的任意位置发送web请求，并查询和修改内部服务信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/wp-remote-users-sync/

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞20630个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	19971
2	补天平台	659
推送总计		20630

三、接报漏洞情况

本周CNNVD接报漏洞140个，其中信息技术产品漏洞（通用型漏洞）130个，网络信息系统漏洞（事件型漏洞）10个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	北京启明星辰信息安全技术有限公司	14
2	北京珞安科技有限责任公司	8
3	博智安全科技股份有限公司	5
4	河南灵创电子科技有限公司	5
5	山东正中信息技术股份有限公司	5
6	成都创信华通信息技术有限公司	4
7	广州竞远安全技术股份有限公司	4
8	上海安几科技有限公司	4
9	北京华云安信息技术有限公司	3
10	北京六方云信息技术有限公司	2
11	北京信联数安科技有限公司	2
12	浪潮电子信息产业股份有限公司	2
13	内蒙古思沃科技有限公司	2
14	锐捷网络股份有限公司	2
15	天津金网智信息技术有限公司	2
16	网宿科技股份有限公司	2
17	北方实验室（沈阳）股份有限公司	1
18	北京安天网络安全技术有限公司	1
19	北京墨云科技有限公司	1
20	北京赛宁网安科技有限公司	1
21	北京神州绿盟科技有限公司	1
22	北京水木羽林科技有限公司	1
23	北京威努特技术有限公司	1
24	北京长亭科技有限公司	1
25	北京智游网安科技有限公司	1
26	北京中测安华科技有限公司	1
27	北京中睿天下信息技术有限公司	1
28	湖南泛联新安信息科技有限公司	1
29	华为技术有限公司	1
30	任子行网络技术股份有限公司	1
31	赛尔网络有限公司	1
32	深圳融安网络科技有限公司	1
33	浙江国利网安科技有限公司	1
34	北京启明星辰信息安全技术有限公司	14
35	北京珞安科技有限责任公司	8
36	博智安全科技股份有限公司	5
报送总计		140

四、收录漏洞通报情况

本周CNNVD收录漏洞通报64份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	南京禾盾信息科技有限公司	13
2	广州市昊恒信息科技有限公司	5
3	杭州中电安科现代科技有限公司	5
4	内蒙古万邦信息安全技术有限公司	5
5	上海谋乐网络科技有限公司	5
6	山东正中信息技术股份有限公司	4
7	北京威努特技术有限公司	3
8	河南灵创电子科技有限公司	3
9	内蒙古思沃科技有限公司	3
10	云上广济（贵州）信息技术有限公司	3
11	北京华顺信安信息技术有限公司	2
12	北京云科安信科技有限公司	2
13	成都创信华通信息技术有限公司	2
14	西安云唐电子科技有限公司	2
15	徐州天衷网络科技有限公司	2
16	北京信联数安科技有限公司	1
17	博智安全科技股份有限公司	1
18	内蒙古旌云科技有限公司	1
19	奇安信网神信息技术（北京）股份有限公司	1
20	上海安识网络科技有限公司	1
收录总计		64