根据国家信息安全漏洞库(CNNVD)统计，本周(2023年3月27日至2023年4月2日)安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞605个。

接报漏洞情况

本周CNNVD接报漏洞15036个，其中信息技术产品漏洞(通用型漏洞)200个，网络信息系统漏洞(事件型漏洞)603个，漏洞平台推送漏洞14233个。

重大漏洞通报

Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502)：成功利用漏洞的攻击者，可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞605个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有66个;从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到10.58%。新增漏洞中，超危漏洞37个，高危漏洞164个，中危漏洞368个，低危漏洞36个。

(一)安全漏洞增长数量情况

本周CNNVD采集安全漏洞605个。

图1 近五周漏洞新增数量统计图

(二)安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有66个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞102个，友讯公司漏洞数量最多，有25个。国内厂商漏洞整体修复率为88.24%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到10.58%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

(三)安全漏洞危害等级与修复情况

本周共发布超危漏洞37个，高危漏洞164个，中危漏洞368个，低危漏洞36个。相应修复率分别为81.08%、93.29%、81.79%和91.67%。根据补丁信息统计，合计517个漏洞已有修复补丁发布，整体修复率为85.45%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四)本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1. Apple macOS Monterey 安全漏洞(CNNVD-202303-2273)

Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Monterey 存在安全漏洞。攻击者利用该漏洞可导致系统意外终止或损坏内核内存。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://support.apple.com/en-us/HT213677

2. WordPress plugin WP Statistics SQL注入漏洞(CNNVD-202303-2217)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WP Statistics 14.0之前版本存在SQL注入漏洞，该漏洞源于程序在SQL语句拼接之前没有对用户输入的参数进行转义，从而导致SQL注入。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wpscan.com/vulnerability/18b7e93f-b038-4f28-918b-4015d62f0eb8

3. Linux kernel 资源管理错误漏洞(CNNVD-202303-2640)

Linux Kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux Kernel存在资源管理错误漏洞，该漏洞源于在fs/nfsd/nfs4proc.c的nfsd4_ssc_setup_dul函数中发现存在内存释放后重用情况，从而导致系统崩溃，或者内核信息泄漏。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=e6cf91b7b47ff82b624bdfe2fdcde32bb52e71dd

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞14233个。

三、接报漏洞情况

本周CNNVD接报漏洞803个，其中信息技术产品漏洞(通用型漏洞)200个，网络信息系统漏洞(事件型漏洞)603个。

（详情略）

四、收录漏洞通报情况

本周CNNVD收录漏洞通报105份。

（详情略）

五、重大漏洞通报

CNNVD关于Apache OpenOffice参数注入漏洞情况的通报

近日，国家信息安全漏洞库(CNNVD)收到关于Apache OpenOffice 参数注入漏洞(CNNVD-202303-1952、CVE-2022-47502)情况的报送。成功利用漏洞的攻击者，可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1、漏洞介绍

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件,该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。由于Apache OpenOffice 文档内可通过含有任意参数的链接调用内部宏，恶意攻击者通过修改特殊URI Scheme 构造恶意链接调用宏，当用户点击链接或通过自动文档事件激活时，会导致覆盖掉文档中现有宏的代码,从而执行任意代码。

2、危害影响

成功利用漏洞的攻击者，可在目标系统执行任意代码。Apache OpenOffice 4.1.13及其以下版本均受此漏洞影响。

3、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方下载链接：

https://www.openoffice.org/download/

来源：CNNVD安全动态