根据国家信息安全漏洞库（CNNVD）统计，本周（2023.07.17~2023.07.23）CNNVD接报漏洞287个，其中信息技术产品漏洞（通用型漏洞）176个，网络信息系统漏洞（事件型漏洞）111个；CNNVD收录漏洞通报115份。

本周重点关注漏洞包括：CVE-2023-26512 Apache EventMesh 反序列化漏洞、CVE-2023-22018 Oracle Virtualization 安全漏洞、CVE-2023-28754 Apache ShardingSphere 代码问题漏洞、CVE-2023-38408 OpenSSH 远程代码漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-26512 Apache EventMesh 反序列化漏洞

威胁等级：高危

漏洞描述：

2023年07月17日，华云安思境安全团队监测到 Apache 官方发布安全通告，Apache EventMesh(incubating) V1.7.0至V1.8.0 版本存在代码问题漏洞。Apache EventMesh 是一个分布式事件驱动消息网格系统，主要用于异构系统之间的消息传递和协作。未经身份验证的攻击者利用该漏洞可以远程执行代码。

情报来源：

https://lists.apache.org/thread/zb1d62wh8o8pvntrnx4t1hj8vz0pm39p   

02 CVE-2023-22018 Oracle Virtualization 安全漏洞

威胁等级：高危

漏洞描述：

2023年07月18日，华云安思境安全团队监测 Oracle 官方发布了安全通告，披露了 Oracle Virtualization 的 Oracle VM VirtualBox product 存在安全漏洞。Oracle Virtualization 是美国 Oracle 公司的一套虚拟化解决方案。该产品用于统一管理从应用程序到磁盘的整个硬件和软件体系，可实现从桌面到数据中心的虚拟化。未经身份验证的攻击者利用该漏洞，可能会导致 Oracle VM VirtualBox 被接管。

情报来源：

https://www.oracle.com/security-alerts/cpujul2023.html   

03 CVE-2023-28754 Apache ShardingSphere 代码问题漏洞

威胁等级：高危

漏洞描述：

2023年07月19日，华云安思境安全团队监测 Apache 官方发布了安全通告，披露了 Apache ShardingSphere-Agent 5.3.2及之前版本存在代码问题漏洞。Apache ShardingSphere 是一款分布式 SQL 事务和查询引擎,可通过数据分片、弹性伸缩、加密等能力对任意数据库进行增强。未经身份验证的攻击者可能通过构建特殊的 YAML 配置文件来执行任意代码。

情报来源：

https://lists.apache.org/thread/p8onhqox5kkwow9lc6gs03z28wtyp1cg   

04 CVE-2023-38408 OpenSSH 远程代码漏洞

威胁等级：高危

漏洞描述：

2023年07月20日，华云安思境安全团队监测发现 OpenSSH 官方发布安全通告，披露了 OpenSSH 9.3p2之前版本存在安全漏洞。OpenSSH 是一套用于安全访问远程计算机的连接工具，该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。在特定条件下，未经身份验证的攻击者利用SSH代理对PKCS#11的支持，可以通过转发的代理套接字远程执行代码。

情报来源：

https://www.openssh.com/txt/release-9.3p2   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法