根据国家信息安全漏洞库（CNNVD）统计，本周（2023.11.20~2023.11.26）CNNVD接报漏洞325个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）84个，其中华云安报送21份；CNNVD收录漏洞通报75份，其中华云安报送5份。

本周重点关注漏洞包括：CVE-2022-46337 Apache Derby 安全漏洞、CVE-2023-46302 Apache Submarine 安全漏洞、CVE-2023-49060 Mozilla Firefox 安全漏洞、CVE-2023-48796  Apache DolphinScheduler 信息泄露漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-46337 Apache Derby 安全漏洞

威胁等级：超危

漏洞描述：

2023年11月20日，华云安思境安全团队监测到 Apache 官方发布安全更新，披露了 Apache Derby 10.1.1.0版本至10.16.1.1版本存在安全漏洞。Apache Derby 是一个基于 Java 的关系型数据库管理系统，它是一个完全的事务性、嵌入式数据库引擎，安装简单易管理，以 Java 类库的形式对外提供服务。未经身份验证的远程攻击者可能利用此漏洞查看和破坏敏感数据。

情报来源：

https://lists.apache.org/thread/q23kvvtoohgzwybxpwozmvvk17rp0td3   

02 CVE-2023-46302 Apache Submarine 安全漏洞

威胁等级：超危

漏洞描述：

2023年11月23日，华云安思境安全团队监测发现 Apache 官方发布安全更新，披露了 Apache Submarine 0.7.0至0.8.0版本存在安全漏洞。Apache Submarine 是一个端到端的机器学习平台，允许数据科学家创建端到端的机器学习工作流。未经身份验证的远程攻击者可能利用反序列化漏洞获取敏感数据。

情报来源：

https://lists.apache.org/thread/zf0wppzh239j4h131hm1dbswfnztxrr5   

03 CVE-2023-49060 Mozilla Firefox 安全漏洞

威胁等级：超危

漏洞描述：

2023年11月24日，华云安思境安全团队监测发现 Firefox 官方发布安全更新，披露了 Mozilla Firefox 120之前版本存在安全漏洞。Mozilla Firefox 是一个自由的，开放源码的浏览器，适用于Windows、Linux、MacOS X 平台，具有体积小、速度快等特点。未经身份验证的远程攻击者可能利用该漏洞通过 referrerpolicy 属性从 ReaderMode 过滤安全密钥来访问内部页面或数据。

情报来源：

https://www.mozilla.org/en-US/security/advisories/mfsa2023-51/    

04 CVE-2023-48796  Apache DolphinScheduler 信息泄露漏洞

威胁等级：超危

漏洞描述：

2023年11月26日，华云安思境安全团队监测发现 Apache 官方发布安全更新，披露了 Apache DolphinScheduler 3.0.0 版本至 3.0.2 之前版本存在信息泄露漏洞。Apache DolphinScheduler 是一个分布式的开源调度系统，它提供了一种可视化、可扩展、高可用的任务调度和数据处理方案。未经身份验证的远程攻击者可能利用此漏洞获取敏感数据。

情报来源：

https://lists.apache.org/thread/ffrmkcwgr2lcz0f5nnnyswhpn3fytsvo   

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开 发者可享99元/年，续费同价！