根据，本周（2023.11.27~2023.12.03）CNNVD接报漏洞286个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）45个，其中华云安报送8份；CNNVD收录漏洞通报90份，其中华云安报送2份。

本周重点关注漏洞包括：CVE-2022-45135 Apache Cocoon SQL注入漏洞、CVE-2023-6033 GitLab跨站脚本漏洞、CVE-2023-48193 JumpServer 远程代码执行漏洞、CVE-2023-34060 VMware Cloud Director Appliance 身份验证绕过漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-45135 Apache Cocoon SQL注入漏洞

威胁等级：超危

漏洞描述：

2023年11月30日，华云安思境安全团队监测到 Apache 官方发布安全更新，披露了 Apache Cocoon 存在安全漏洞。Apache Cocoon 是一个纯 Java 的网页内容发布框架，它允许内容(纯数据)、逻辑和表现形式分别放到不同的XML文件中，然后用XSL来将它们组合并显示出来。未经身份验证的远程攻击者可能利用此漏洞获取敏感数据。

情报来源：

   

02 CVE-2023-6033 GitLab跨站脚本漏洞

威胁等级：超危

漏洞描述：

2023年11月30日，华云安思境安全团队监测发现 GitLab 官方发布安全更新，披露了 15.10 <= GitLab CE/EE版本< 16.6.1、16.5 <= GitLab CE/EE版本< 16.5.3、16.4 <= GitLab CE/EE版本< 16.4.3 版本存在信息泄露漏洞。GitLab 是一个用于仓库管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问公开或私人项目。未经身份验证的远程攻击者可能利用此漏洞获取敏感数据。

情报来源：

   

03 CVE-2023-48193 JumpServer 远程代码执行漏洞

威胁等级：超危

漏洞描述：

2023年12月01日，华云安思境安全团队监测发现，网络上披露了 Apache Submarine 0.7.0 至0.8.0 版本存在安全漏洞。JumpServer 是一款广受欢迎的开源堡垒机，符合 4A 规范的专业运维安全审计系统。未经身份验证的远程攻击者可能利用该漏洞远程执行任意代码。

情报来源：

   

04 CVE-2023-34060 VMware Cloud Director Appliance 身份验证绕过漏洞

威胁等级：超危

漏洞描述：

2023年12月02日，华云安思境安全团队监测发现 VMware 官网发布安全更新，披露了 从旧版本（10.4.x或更低版本）升级到VMware Cloud Director Appliance 10.5版本存在安全漏洞。VMware Cloud Director 是一个云服务平台,以自助服务模式提供安全、隔离、弹性的虚拟数据中心计算、网络、存储和安全。未经身份验证的远程攻击者可能利用该漏洞绕过登录限制，导致未授权访问。

情报来源：

   

 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。