根据国家信息安全漏洞库（CNNVD）统计，本周（2023.07.31~2023.08.06）CNNVD接报漏洞312个，其中信息技术产品漏洞（通用型漏洞）201个，网络信息系统漏洞（事件型漏洞）111个；其中华云安报送63份！CNNVD收录漏洞通报90份，其中华云安报送2份。漏洞报送数量及预警报送数量均持续位居前列！

本周重点关注漏洞包括：CVE-2023-4008 GitLab CE/EE 信息泄露漏洞、CVE-2023-4058 Mozilla Firefox 缓冲区错误漏洞、CVE-2023-36480 Aerospike 反序列化漏洞、CVE-2023-39508 Apache Airflow 权限绕过漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2023-4008 GitLab CE/EE 信息泄露漏洞

威胁等级：超危

漏洞描述：

2023年08月01日，华云安思境安全团队监测 GitLab 官方发布了安全通告，披露了 15.9 <= GitLab CE/EE <= 16.0.8、16.1.x <= GitLab CE/EE <= 16.1.3、16.2.x <= GitLab CE/EE <= 16.2.2 版本存在信息泄露漏洞。GitLab是一款流行的代码托管和持续集成平台,它可以帮助开发人员更好地管理代码,进行代码协作和版本控制。未经身份验证的攻击者利用该漏洞添加特定字符串可能会接管GitLab页面。

情报来源：

https://gitlab.com/gitlab-org/gitlab/-/releases   

02 CVE-2023-4058 Mozilla Firefox 缓冲区错误漏洞

威胁等级：超危

漏洞描述：

2023年08月01日，华云安思境安全团队监测到 Mozilla 官方发布安全通告，披露了 Mozilla Firefox 116 版本存在缓冲区错误漏洞。Mozilla Firefox 是一款开源 Web 浏览器，兼容Windows、Mac OS、Android、iOS等操作系统。未经身份验证的攻击者利用该漏洞可能会被利用来运行任意代码。

情报来源：

https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/   

03 CVE-2023-36480 Aerospike 反序列化漏洞

威胁等级：超危

漏洞描述：

2023年08月04日，华云安思境安全团队监测 Aerospike 官方发布了安全通告，披露了 Aerospike Java 7.0.0之前版本存在代码问题漏洞。Aerospike 是一套 NoSQL 数据库解决方案。未经授权的攻击者利用该漏洞可能在响应中构建特制的对象执行任意代码。

情报来源：

https://github.com/aerospike/aerospike-client-java/commit/66aafb4cd743cf53baffaeaf69b035f51d2e2e36   

04 CVE-2023-39508 Apache Airflow 权限绕过漏洞

威胁等级：高危

漏洞描述：

2023年08月05日，华云安思境安全团队监测发现 Apache 官方发布安全通告，披露了 Apache Airflow 2.6.0之前版本存在权限绕过漏洞。Apache Airflow 是一套用于创建、管理和监控工作流程的开源平台。未经身份验证的攻击者利用该漏洞访问敏感信息。

情报来源：

https://lists.apache.org/thread/j2nkjd0zqvtqk85s6ywpx3c35pvzyx15   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课