国家信息安全漏洞共享平台(CNVD)-2023年第8期

     本周漏洞态势研判情况

 

     本周信息安全漏洞威胁整体评价级别为中。

 

     国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 345 个，其中高危漏洞 202 个、中危漏洞 120 个、低危漏洞 23 个。漏洞平均分值为 6.64。本周收录的漏洞中，涉及 0day 漏洞 293 个（占 85%），其中互联网上出现“PbootCMSSQL 注入漏洞（CNVD-2023-11247）、SEMCMS Ant_Pro.php SQL 注入漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的漏洞总数 10131 个，与上周（7975 个）环比增加 27%。

 

     本周漏洞事件处置情况

 

     本周报送情况如表 1 所示。其中，深信服科技股份有限公司、新华三技术有限公司、安天科技集团股份有限公司、北京启明星辰信息安全技术有限公司、杭州安恒信息技术股份有限公司等单位报送公开收集的漏洞数量较多。

 

     本周漏洞按类型和厂商统计

     本周，CNVD 收录了 345 个漏洞。WEB 应用 189 个，应用程序 114 个，网络设备（交换机、路由器等网络端设备）35 个，智能设备（物联网终端设备）5 个，操作系统1 个，安全产品 1 个。

     本周行业漏洞收录情况

     本周，CNVD 收录了 22 个电信行业漏洞，16 个移动互联网行业漏洞，4 个工控行业漏洞。

     本周重要漏洞攻击验证情况

     验证描述

     PbootCMS 是 PbootCMS 个人开发者的一款使用 PHP 语言开发的开源企业建站内容管理系统（CMS）。

     PbootCMS 3.0.5 版本存在安全漏洞。攻击者可利用该漏洞通过特制的 GET 请求执行任意 SQL 命令。

     本周漏洞要闻速递

     1. 数百个 Docker 容器镜像中隐藏漏洞，下载量高达数十亿次

     Rezilion 发现了数百个 Docker 容器镜像的存在，这些镜像包含了大多数标准漏洞扫描器和 SCA 工具都没有检测到的漏洞。

     2. 谷歌发布 Chrome 浏览器更新修复 10 个漏洞

     谷歌 23 日面向 macOS、Linux 和 Windows 平台，发布了 Chrome 110.0.5481.177 .178 版本更新。本次更新主要修复了 10 个漏洞，其中包括 1 个“关键”级别的安全漏洞。