信息安全漏洞周报（2023年第47期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2023年11月20日至2023年11月26日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞373个。

接报漏洞情况

本周CNNVD接报漏洞64745个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）84个，漏洞平台推送漏洞64420个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞373个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有125个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到11.80%。新增漏洞中，超危漏洞22个，高危漏洞72个，中危漏洞265个，低危漏洞14个。

本周CNNVD采集安全漏洞373个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，WordPress基金会新增漏洞最多，有125个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	125	33.51%
2	Artica	14	3.75%
3	Mozilla基金会	12	3.22%
4	Autodesk	9	2.41%
5	Nextcloud	8	2.14%

本周国内厂商漏洞15个，腾达公司漏洞数量最多，有4个。国内厂商漏洞整体修复率为33.33%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到11.80%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	跨站脚本	44	11.80%
2	跨站请求伪造	17	4.56%
3	信息泄露	9	2.41%
4	代码问题	6	1.61%
5	SQL注入	3	0.80%
6	输入验证错误	2	0.54%
7	授权问题	2	0.54%
8	路径遍历	2	0.54%
9	日志信息泄露	2	0.54%
10	资源管理错误	1	0.27%
11	访问控制错误	1	0.27%
12	其他	284	76.14%

本周共发布超危漏洞22个，高危漏洞72个，中危漏洞265个，低危漏洞14个。相应修复率分别为68.18%、91.67%、81.13%和64.29%。根据补丁信息统计，合计305个漏洞已有修复补丁发布，整体修复率为81.77%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	22	15	68.18%
2	高危	72	66	91.67%
3	中危	265	215	81.13%
4	低危	14	9	64.29%
合计		373	305	81.77%

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	其他	CNNVD-202311-1697	WordPress基金会	WordPress plugin WP Post Popup 安全漏洞	是	超危
2	其他	CNNVD-202311-1755	Mozilla基金会	Mozilla Firefox 安全漏洞	是	高危
3	信息泄露	CNNVD-202311-1997	Apache基金会	Apache DolphinScheduler 信息泄露漏洞	是	高危

1.WordPress plugin WP Post Popup 安全漏洞（CNNVD-202311-1697）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WP Post Popup 3.7.3 版本及之前版本存在安全漏洞，该漏洞源于在将某些属性回显至页面上之前不会对其进行验证和转义。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wpscan.com/vulnerability/bb8e9f06-477b-4da3-b5a6-4f06084ecd57

2.Mozilla Firefox 安全漏洞（CNNVD-202311-1755）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

Mozilla Firefox 120之前版本存在安全漏洞。攻击者利用该漏洞可以通过referrerpolicy属性从ReaderMode过滤安全密钥来访问内部页面或数据。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.mozilla.org/security/advisories/mfsa2023-51

3.Apache DolphinScheduler 信息泄露漏洞（CNNVD-202311-1997）

Apache DolphinScheduler是美国阿帕奇（Apache）基金会的一个分布式的基于DAG可视化的工作流任务调度系统。

Apache DolphinScheduler 3.0.0版本至3.0.2之前版本存在信息泄露漏洞。攻击者利用该漏洞可以获取敏感数据，例如数据库凭证。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞64420个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	39140
2	补天平台	24949
3	360漏洞云	331
推送总计		64420

三、接报漏洞情况

本周CNNVD接报漏洞325个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）84个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	个人	70
2	内蒙古旌云科技有限公司	48
3	北京启明星辰信息安全技术有限公司	42
4	北京华云安信息技术有限公司	21
5	北京天融信网络安全技术有限公司	21
6	深圳开源互联网安全技术有限公司	13
7	湖南泛联新安信息科技有限公司	8
8	北京安天网络安全技术有限公司	7
9	河南灵创电子科技有限公司	7
10	上海安识网络科技有限公司	6
11	杭州安恒信息技术股份有限公司	5
12	杭州中电安科现代科技有限公司	5
13	浙江大华技术股份有限公司	5
14	北京天防安全科技有限公司	4
15	北京中睿天下信息技术有限公司	4
16	广州竞远安全技术股份有限公司	4
17	山西轩辕信息安全技术有限公司	4
18	北方实验室（沈阳）股份有限公司	3
19	北京金睛云华科技有限公司	3
20	北京威努特技术有限公司	3
21	北京微步在线科技有限公司	3
22	江苏网擎信息技术有限公司	3
23	联通数字科技有限公司	3
24	北京安普诺信息技术有限公司	2
25	北京国舜科技股份有限公司	2
26	北京容辉智信科技有限公司	2
27	北京锐服信科技有限公司	2
28	工业和信息化部电子第五研究所	2
29	杭州海康威视数字技术股份有限公司	2
30	奇安信网神信息技术（北京）股份有限公司	2
31	赛尔网络有限公司	2
32	西安交大捷普网络科技有限公司	2
33	浙江东安检测技术有限公司	2
34	中兴通讯股份有限公司	2
35	北京奇虎科技有限公司	1
36	广州纬安科技有限公司	1
37	河南东方云盾信息技术有限公司	1
38	湖北肆安科技有限公司	1
39	南京聚铭网络科技有限公司	1
40	内蒙古万邦信息安全技术有限公司	1
41	锐捷网络股份有限公司	1
42	山东鼎夏智能科技有限公司	1
43	天地伟业技术有限公司	1
44	新基信息技术集团股份有限公司	1
45	长扬科技（北京）股份有限公司	1
报送总计		325

四、收录漏洞通报情况

本周CNNVD收录漏洞通报75份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	湖北肆安科技有限公司	14
2	浙江宇视科技有限公司	8
3	中孚安全技术有限公司	7
4	北京华云安信息技术有限公司	5
5	南京禾盾信息科技有限公司	4
6	山东泽鹿安全技术有限公司	4
7	浙江国利网安科技有限公司	3
8	北京奇虎科技有限公司	2
9	杭州迪普科技股份有限公司	2
10	杰润鸿远（北京）科技有限公司	2
11	奇安信网神信息技术（北京）股份有限公司	2
12	深圳开源互联网安全技术有限公司	2
13	天地伟业技术有限公司	2
14	北京安天网络安全技术有限公司	1
15	北京启明星辰信息安全技术有限公司	1
16	北京天融信网络安全技术有限公司	1
17	北京铜牛奇安科技有限公司	1
18	北京源堡科技有限公司	1
19	北京中睿天下信息技术有限公司	1
20	博智安全科技股份有限公司	1
21	恒安嘉新(北京)科技股份公司	1
22	华为技术有限公司	1
23	上海斗象信息科技有限公司	1
24	深信服科技股份有限公司	1
25	深圳昂楷科技有限公司	1
26	深圳海云安网络安全技术有限公司	1
27	腾讯云计算（北京）有限责任公司	1
28	网宿科技股份有限公司	1
29	西安交大捷普网络科技有限公司	1
30	新华三技术有限公司	1
31	中兴通讯股份有限公司	1
收录总计		75

原文始发于微信公众号（CNNVD安全动态）：信息安全漏洞周报（2023年第47期）