(2022 年第 36 期 总第 640 期)

根据国家信息安全漏洞库(CNNVD)统计，本周(2022 年 8 月 29日至 2022 年 9 月 4 日)安全漏洞情况如下：

公开漏洞情况

本周 CNNVD 采集安全漏洞 364 个。

接报漏洞情况

本周 CNNVD 接报漏洞 8908 个，其中信息技术产品漏洞(通用型漏洞)86 个，网络信息系统漏洞(事件型漏洞)272 个，漏洞平台推送漏洞 8550 个。

重大漏洞通报

GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884)：成功利用漏洞的攻击者可导入恶意制作的项目，进而导致在目标系统远程代码执行。GitLab(CE/EE)多版本受漏洞影响。目前，GitLab 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞 364个，漏洞新增数量有所下降。从厂商分布来看谷歌公司新增漏洞最多，有 23 个;从漏洞类型来看，SQL 注入类的安全漏洞占比最大，达到7.14%。新增漏洞中，超危漏洞 58 个，高危漏洞 126 个，中危漏洞172 个，低危漏洞 8 个。相应修复率分别为 58.62%、72.22%、68.60%和 100.00%。根据补丁信息统计，合计 251 个漏洞已有修复补丁发布，整体修复率为 68.96%。

(一) 安全漏洞增长数量情况

本周 CNNVD 采集安全漏洞 364 个。

(二) 安全漏洞分布情况

从厂商分布来看，谷歌公司新增漏洞最多，有 23 个。各厂商漏洞数量分布如表 1 所示。

本周国内厂商漏洞 31 个，友讯公司漏洞数量最多，有 7 个。国内厂商漏洞整体修复率为 50.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, SQL 注入类的安全漏洞占比最大，达到 7.14%。漏洞类型统计如表 2 所示。

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞 58 个，高危漏洞 126 个，中危漏洞 172 个，低危漏洞8个。相应修复率分别为58.62%、72.22%、68.60%和100.00%。根据补丁信息统计，合计 251 个漏洞已有修复补丁发布，整体修复率为 68.96%。详细情况如表 3 所示。

(四) 本周重要漏洞实例

本周重要漏洞实例如表 4 所示。

1. Apache OFBiz 安全漏洞(CNNVD-202209-094)

Apache OFBiz 是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于 Java 的 Web 应用程序组件和工具。

Apache OFBiz 18.12.05 版本及之前版本存在安全漏洞，该漏洞源于 Birt 插件存在错误。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/bvp3sczqq863lxr1wh7wjvdtjbkcwspq

2. Google Chrome 安全漏洞(CNNVD-202208-4409)

Google Chrome 是美国谷歌(Google)公司的一款 Web 浏览器。

Google Chrome 存在安全漏洞，该漏洞源于在 PhoneHub(可以查看手机的蜂窝信号,电池寿命等)中存在内存释放后重用问题。以下产品和版本受到影响：Chrome 105.0.5195.52 (Mac/linux)之前版本和 105.0.5195.52/53/54(Windows)之前版本。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_33.html

3. WordPress plugin WPIDE 路径遍历漏洞(CNNVD-202208-4343)6

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个应用插件。

WordPress plugin WPIDE 3.0 之前版本存在路径遍历漏洞，该漏洞源于不会对 filename 参数进行清理和验证。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/f6091d7b-97b5-42f2-b2f4-09a0fe6d5a21

二、漏洞平台推送情况

本周漏洞平台推送漏洞 8550 个。

三、接报漏洞情况

本周 CNNVD 接报漏洞 358 个，其中信息技术产品漏洞(通用型漏洞)86 个，网络信息系统漏洞(事件型漏洞)272 个。（详情略））

四、接报漏洞通报情况

本周 CNNVD 接报漏洞通报 105 份。（详情略）

五、重大漏洞通报

CNNVD 关于 GitLab 安全漏洞的通报

近日，国家信息安全漏洞库(CNNVD)收到关于 GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884)情况的报送。经身份验证的攻击者利用该漏洞可导入恶意制作的项目，进而导致在目标系统远程代码执行。GitLab(CE/EE)多版本受漏洞影响。目前，GitLab 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

GitLab 是美国 GitLab 公司的一款软件项目仓库应用程序，具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。

. 危害影响

经身份验证的攻击者利用该漏洞可导入恶意制作的项目，进而导致在目标系统远程代码执行。GitLab(CE/EE)的 11.3.4 至 15.1.5之前版本、15.2 至 15.2.3 之前版本、15.3 至 15.3.1 之前版本受该漏洞影响。

.修复建议

目前，GitLab 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

来源：国家信息安全漏洞库网站