根据国家信息安全漏洞库（CNNVD）统计，本周（2023.08.21~2023.08.27）CNNVD接报漏洞180个，其中信息技术产品漏洞（通用型漏洞）146个，网络信息系统漏洞（事件型漏洞）34个；CNNVD收录漏洞通报51份，其中华云安报送2份！

本周重点关注漏洞包括：CVE-2022-44729  Apache XML Graphics Batik 代码问题漏洞、CVE-2023-1409 MongoDB Server 信任管理问题漏洞、CVE-2023-40572 XWiki Platform 跨站请求伪造漏洞、CVE-2023-2906 拒绝服务漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-44729 Apache XML Graphics Batik 代码问题漏洞

威胁等级：超危

漏洞描述：

2023年08月22日，华云安思境安全团队监测发现 Apache 官网发布安全更新，披露了 TApache XML Graphics Batik 1.16 版本存在代码问题漏洞。Apache XML Graphics Batik 是 Apache 基金会的一套基于 Java 的主要用于处理 SVG 格式图像的应用程序。未经身份验证的攻击者可能利用此漏洞可能加载外部资源。

情报来源：

https://lists.apache.org/thread/hco2nw1typoorz33qzs0fcdx0ws6d6j2   

02 CVE-2023-1409 MongoDB Server 信任管理问题漏洞

威胁等级：超危

漏洞描述：

2023年08月23日，华云安思境安全团队监测 MongoDB 官方发布了安全通告，披露了 MongoDB Server v6.3 版本、MongoDB Server v5.0.0 至 v5.0.14 版本、MongoDB Server v4.4 版本存在安全漏洞。MongoDB 是一种开源的 NoSQL 数据库，具备了面向文档的数据模型、分布式存储和水平扩展、实时数据分析和聚合操作、高可用性和容错性等功能。若配置不当未经身份验证的攻击者可能利用此漏洞使客户端与提供任何证书的服务器建立 TLS 连接。

情报来源：

https://jira.mongodb.org/browse/SERVER-77028   

03 CVE-2023-40572 XWiki Platform 跨站请求伪造漏洞

威胁等级：超危

漏洞描述：

2023年08月24日，华云安思境安全团队监测到 XWiki 官方发布安全通告，披露了 XWiki Platform 3.2-milestone-3至14.10.9之前版本、15.0-rc-1至15.4-rc-1 之前版本存在跨站请求伪造漏洞。XWiki Platform 是一个通用的 wiki 平台，为在其上构建的应用程序提供运行时服务。未经身份验证的攻击者利用该漏洞可能获取用户的敏感信息。

情报来源：

https://github.com/xwiki/xwiki-platform/security/advisories/GHSA-4f8m-7h83-9f6m   

04 CVE-2023-2906 拒绝服务漏洞

威胁等级：超危

漏洞描述：

2023年08月25日，华云安思境安全团队监测发现 Wireshark 官方发布安全通告，披露了 Wireshark 2.0.0 版本至4.0.7 版本存在拒绝服务漏洞。Wireshark是一款网络封包分析软件，可以截取各种网络数据包，并显示数据包详细信息。未经身份验证的攻击者利用该漏洞可能导致拒绝服务。

情报来源：

https://gitlab.com/wireshark/wireshark/-/issues/19229   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌 握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法