根据国家信息安全漏洞库（CNNVD）统计，本周（2023.07.24~2023.07.30）CNNVD接报漏洞241个，其中信息技术产品漏洞（通用型漏洞）150个，网络信息系统漏洞（事件型漏洞）91个；CNNVD收录漏洞通报105份。

本周重点关注漏洞包括：CVE-2023-37895 Apache Jackrabbit 远程代码执行漏洞、CVE-2023-39152 Jenkins Gradle Plugin 敏感信息泄露漏洞、CVE-2023-32001 Libcurl 竞争条件漏洞、CVE-2023-37754 PowerJob 远程代码执行漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-37895 Apache Jackrabbit 远程代码执行漏洞

威胁等级：超危

漏洞描述：

2023年07月25日，华云安思境安全团队监测 Apache 官方发布了安全通告，披露了 Apache Jackrabbit Webapp (jackrabbit-webapp) 2.21.0 < 2.21.18、Apache Jackrabbit Webapp (jackrabbit-webapp) 1.0.0 < 2.20.11、Apache Jackrabbit Standalone 2.21.0 < 2.21.18、Apache Jackrabbit Standalone 1.0.0 < 2.20.11 存在远程代码执行漏洞。Apache Jackrabbit 是一个高级的信息管理系统，该系统是传统的数据仓库的扩展，它提供了诸如版本控制、全文检索、访问控制、内容分类、内容事件监视等内容服务。未经身份验证的攻击者利用该漏洞可能执行远程代码。

情报来源：

https://lists.apache.org/thread/j03b3qdhborc2jrhdc4d765d3jkh8bfw   

02 CVE-2023-39152 Jenkins Gradle Plugin 敏感信息泄露漏洞

威胁等级：中危

漏洞描述：

2023年07月26日，华云安思境安全团队监测到 Jenkins 官方发布安全通告，披露了Jenkins Gradle 插件 2.8 中存在敏感信息泄露漏洞。Jenkins 是基于 Java 开发的一种持续集成工具，用于监控持续重复的工作。未经身份验证的攻击者利用该漏洞可能获取敏感信息。

情报来源：

https://www.jenkins.io/security/advisory/2023-07-26/#SECURITY-3208   

03 CVE-2023-32001 Libcurl 竞争条件漏洞

威胁等级：中危

漏洞描述：

2023年07月26日，华云安思境安全团队监测发现 Debian 官方发布安全通告，披露了 curl 8.2.0之前版本存在竞争条件漏洞。Curl是一种开源的网络数据传输工具，用来发送和接收HTTP，FTP，IMAP，SMTP，POP，LDAP，RTSP，HTTPS等网路协议的命令。未经身份验证的攻击者诱导用户执行特定命令可获取其他用户加载的敏感文件信息。

情报来源：

https://www.debian.org/security/2023/dsa-5460   

04 CVE-2023-37754 PowerJob 远程代码执行漏洞

威胁等级：超危

漏洞描述：

2023年07月30日，华云安思境安全团队监测 PowerJob 官方发布了安全通告，披露了 PowerJob<=4.3.3 及之前版本存在代码问题漏洞。PowerJob 是全新一代分布式调度与计算框架，用于作业调度与繁杂任务的分布式计算。未经授权的攻击者利用该漏洞可能远程执行任意代码。

情报来源：

https://github.com/PowerJob/PowerJob/issues/675 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。