您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報2022年第15期
本周漏洞態(tài)勢研判情況
本周信息安全漏洞威脅整體評價級別為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞311個,其中高危漏洞108個、中危漏洞177個、低危漏洞26個。漏洞平均分值為6.00。本周收錄的漏洞中,涉及0day漏洞196個(占63%),其中互聯(lián)網(wǎng)上出現(xiàn)“Appneta Tcpreplay緩沖區(qū)溢出漏洞、Pimcore SQL注入漏洞(CNVD-2022-29569)”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)4626個,與上周(3611個)環(huán)比增加28%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
本周漏洞事件處置情況
本周,CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件31起,向基礎(chǔ)電信企業(yè)通報漏洞事件48起,協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件1778起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高??蒲性核到y(tǒng)漏洞事件122起,向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件120起。
此外,CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
淄博閃靈網(wǎng)絡(luò)科技有限公司、珠海新華通軟件股份有限公司、珠海金山辦公軟件有限公司、重慶遠秋科技有限公司、正方軟件股份有限公司、浙江深大智能科技有限公司、浙江大華技術(shù)股份有限公司、長沙友點軟件科技有限公司、長沙米拓信息技術(shù)有限公司、長沙德尚網(wǎng)絡(luò)科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、易時代新圖軟件有限公司、兄弟(中國)商業(yè)有限公司、新天科技股份有限公司、小米科技有限責(zé)任公司、夏普商貿(mào)(中國)有限公司、西安九佳易信息資訊有限公司、西安菜瓜云信息科技有限公司、西安佰聯(lián)網(wǎng)絡(luò)技術(shù)有限公司、武漢類森科技有限公司、溫州互引信息技術(shù)有限公司、微軟(中國)有限公司、網(wǎng)新科技集團有限公司、通用電氣(GE)公司、騰億網(wǎng)絡(luò)科技有限公司、太原迅易科技有限公司、蘇州萬戶網(wǎng)絡(luò)科技有限公司、蘇州科達科技股份有限公司、四平市九州易通科技有限公司、四川蜀天夢圖數(shù)據(jù)科技有限公司、思科系統(tǒng)(中國)網(wǎng)絡(luò)技術(shù)有限公司、深圳英飛拓科技股份有限公司、深圳維盟科技股份有限公司、深圳市迅捷通信技術(shù)有限公司、深圳市信銳網(wǎng)科技術(shù)有限公司、深圳市美科星通信技術(shù)有限公司、深圳市吉祥騰達科技有限公司、深圳市多度科技有限公司、深圳市博思高科技有限公司、深圳市必聯(lián)電子有限公司、深圳前海微眾銀行股份有限公司、深圳華視美達信息技術(shù)有限公司、深圳和新科技有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海新朋程信息科技有限公司、上海聲閱智能科技有限公司、上海商派網(wǎng)絡(luò)科技有限公司、上海夢之路數(shù)字科技有限公司、上??咸貎x表股份有限公司、上海華測導(dǎo)航技術(shù)股份有限公司、上海孚盟軟件有限公司、上海酆澤信息技術(shù)有限公司、上海泛微網(wǎng)絡(luò)科技股份有限公司、上海艾泰科技有限公司、熵基科技股份有限公司、山東金鐘科技集團股份有限公司、廈門四信通信科技有限公司、廈門海豹他趣信息技術(shù)股份有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、青島自動化儀表有限公司、青島易軟天創(chuàng)網(wǎng)絡(luò)科技有限公司、麒麟軟件有限公司、普聯(lián)技術(shù)有限公司、邁普通信技術(shù)股份有限公司、靈寶簡好網(wǎng)絡(luò)科技有限公司、敬業(yè)鋼鐵有限公司、江蘇曼荼羅軟件股份有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、惠普貿(mào)易(上海)有限公司、華碩電腦(上海)有限公司、湖南建研信息技術(shù)股份有限公司、黑龍江立高科技股份有限公司、河北先河環(huán)??萍脊煞萦邢薰?、河北白晶環(huán)境科技有限公司、杭州益仕行信息技術(shù)有限公司、杭州海康威視數(shù)字技術(shù)股份有限公司、杭州迪普科技股份有限公司、海南贊贊網(wǎng)絡(luò)科技有限公司、廣州易東信息安全技術(shù)有限公司、廣州圖創(chuàng)計算機軟件開發(fā)有限公司、廣州市保倫電子有限公司、廣州紅帆科技有限公司、廣聯(lián)達科技股份有限公司、廣東盈世計算機科技有限公司、廣東拓迪智能科技有限公司、高德軟件有限公司、富士膠片商業(yè)創(chuàng)新(中國)有限公司、福建鑫諾醫(yī)療股份有限公司、福建方維信息科技有限公司、東華醫(yī)為科技有限公司、東莞市智躍軟件科技有限公司、東莞市冬驚魚網(wǎng)絡(luò)科技有限公司、帝興軟件開發(fā)有限公司、成都星銳藍海網(wǎng)絡(luò)科技有限公司、成都萬江港利科技有限公司、北京易聊科技有限公司、北京億信華辰軟件有限責(zé)任公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京五指互聯(lián)科技有限公司、北京通達信科科技有限公司、北京神州視翰科技有限公司、北京清元優(yōu)軟科技有限公司、北京派網(wǎng)軟件有限公司、北京謀智火狐信息技術(shù)有限公司、北京靈州網(wǎng)絡(luò)技術(shù)有限公司、北京獵鷹安全科技有限公司、北京九思協(xié)同軟件有限公司、北京京東叁佰陸拾度電子商務(wù)有限公司、北京金和網(wǎng)絡(luò)股份有限公司、北京東華萬興軟件有限公司、安科瑞電氣股份有限公司、安徽旭帆信息科技有限公司、安徽省科大奧銳科技有限公司、安徽科迅教育裝備集團有限公司、阿里巴巴集團安全應(yīng)急響應(yīng)中心、百度安全應(yīng)急響應(yīng)中心、簡單CMS、熊海CMS、信呼、小z博客、Yeelight、worldeyecam、WEAVEWORKS、The Apache Software Foundation、TaoCMS、Sonatype、Solar monitor、SEACMS、phpMyAdmin、Oracle、NETGEAR、mySCADA Technologies、Mlflow、Ivanti、HashiCorp、Glyph & Cog, LLC、Geovision、fibergate、emlog、Dreamer CMS、DaiCuo、CODESYS Group、Alpha Technologies、ABB集團。
本周,CNVD發(fā)布了《Microsoft發(fā)布2022年4月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。
https://www.cnvd.org.cn/webinfo/show/7601
本周漏洞報送情況統(tǒng)計
本周報送情況如表1所示。其中,深信服科技股份有限公司、新華三技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位報送公開收集的漏洞數(shù)量較多。重慶都會信息科技有限公司、杭州??低晹?shù)字技術(shù)股份有限公司、杭州默安科技有限公司、貴州泰若數(shù)字科技有限公司、內(nèi)蒙古洞明科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、長春嘉誠信息技術(shù)股份有限公司、上海紐盾科技股份有限公司、廣州百蘊啟辰科技有限公司、河南東方云盾信息技術(shù)有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、浙江大學(xué)控制科學(xué)與工程學(xué)院、杭州美創(chuàng)科技有限公司、北方實驗室(沈陽)股份有限公司、北京威努特技術(shù)有限公司、廣西等保安全測評有限公司、武漢安域信息安全技術(shù)有限公司、河南靈創(chuàng)電子科技有限公司、墨菲未來科技(北京)有限公司、河南信安世紀(jì)科技有限公司、廣東藍爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、北京遠禾科技有限公司、海南神州希望網(wǎng)絡(luò)有限公司、上海上訊信息技術(shù)股份有限公司、快頁信息技術(shù)有限公司、北京機沃科技有限公司、廣西塔易信息技術(shù)有限公司、江蘇保旺達軟件技術(shù)有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、北京冠程科技有限公司、河南金盾信安檢測評估中心有限公司、河北華測信息技術(shù)有限公司及其他個人白帽子向CNVD提交了4626個以事件型漏洞為主的原創(chuàng)漏洞,其中包括上海交大和奇安信網(wǎng)神(補天平臺)向CNVD共享的白帽子報送的1712條原創(chuàng)漏洞信息。
表1 漏洞報送情況統(tǒng)計表
本周漏洞按類型和廠商統(tǒng)計
本周,CNVD收錄了311個漏洞。WEB應(yīng)用114個,應(yīng)用程序83個,網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)55個,操作系統(tǒng)30個,智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)26個,數(shù)據(jù)庫3個。
表2 漏洞按影響類型統(tǒng)計表
圖2 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及Siemens、Google、WordPress等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了27個電信行業(yè)漏洞,27個移動互聯(lián)網(wǎng)行業(yè)漏洞,21個工控行業(yè)漏洞(如下圖所示)。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-28921)、Siemens SIMATIC Energy Manager訪問控制錯誤漏洞”等漏洞的綜合評級為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序,請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖3 電信行業(yè)漏洞統(tǒng)計
圖4 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計
圖5 工控系統(tǒng)行業(yè)漏洞統(tǒng)計
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、 WordPress產(chǎn)品安全漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在客戶端執(zhí)行JavaScript代碼,上傳任意文件,竊取數(shù)據(jù)庫敏感數(shù)據(jù)等。
CNVD收錄的相關(guān)漏洞包括:WordPress插件授權(quán)問題漏洞、WordPress Social Sharing plugin跨站腳本漏洞、WordPress Popup Like box plugin跨站腳本漏洞、WordPress Pz-LinkCard plugin跨站腳本漏洞、WordPress Sermon Browser plugin跨站請求偽造漏洞、WordPress Plezi plugin跨站腳本漏洞、WordPress Popup Builder plugin SQL注入漏洞、WordPress Narnoo Distributor plugin路徑遍歷漏洞。其中,“WordPress Popup Builder plugin SQL注入漏洞”的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28801
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29855
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29858
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29857
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29856
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29860
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29859
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29862
2、 Siemens產(chǎn)品安全漏洞
SCALANCE X switches用于連接可編程邏輯控制器等工業(yè)組件(PLC)或人機界面(HMI)。SIPLUS extreme專為在極端條件下可靠運行而設(shè)計。Simcenter Femap是一種高級仿真應(yīng)用程序,用于創(chuàng)建、編輯和檢查復(fù)雜產(chǎn)品或系統(tǒng)的有限元模型。SIMATIC PCS neo是一種分布式控制系統(tǒng) (DCS)。TIA Administrator是一個基于Web的框架。Siemens Network Planner (SINETPLAN) 支持您作為基于 PROFINET 的自動化系統(tǒng)的規(guī)劃者。TIA Portal是一款PC軟件。SIMATIC S7-400 CPU系列產(chǎn)品專為工業(yè)環(huán)境中的過程控制而設(shè)計。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在設(shè)備上執(zhí)行任意代碼,導(dǎo)致拒絕服務(wù)等。
CNVD收錄的相關(guān)漏洞包括:Siemens SCALANCE X-300 Switch Family Devices緩沖區(qū)溢出漏洞(CNVD-2022-28480、CNVD-2022-28484、CNVD-2022-28479)、Siemens SCALANCE X-300 Switch Family Devices跨站請求偽造漏洞、Siemens Simcenter Femap存在越界寫入漏洞(CNVD-2022-28488)、Siemens TIA Administrator拒絕服務(wù)漏洞、Siemens Simcenter Femap越界讀取漏洞(CNVD-2022-28490)、Siemens SIMATIC S7-400 CPU拒絕服務(wù)漏洞。上述漏洞的綜合評級為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28480
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28479
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28484
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28483
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28488
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28491
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28490
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28495
3、 Google產(chǎn)品安全漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Android是一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在系統(tǒng)上執(zhí)行任意代碼或造成拒絕服務(wù)情況,提升權(quán)限等。
CNVD收錄的相關(guān)漏洞包括:Google Chrome V8代碼執(zhí)行漏洞(CNVD-2022-28467)、Google Chrome File System API信息泄露漏洞、Google Android權(quán)限提升漏洞(CNVD-2022-28909、CNVD-2022-28911、CNVD-2022-28910、CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918)。其中,除“Google Android權(quán)限提升漏洞(CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918)”外,其余漏洞的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28467
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28466
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28909
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28911
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28910
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28917
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28915
https://www.cnvd.org.cn/flaw/show/CNVD-2022-28918
4、 Microsoft產(chǎn)品安全漏洞
Microsoft Windows是一款由美國微軟公司開發(fā)的窗口化操作系統(tǒng)。Microsoft Office是一款辦公軟件套件產(chǎn)品。該產(chǎn)品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft SharePoint是一套企業(yè)業(yè)務(wù)協(xié)作平臺。該平臺用于對業(yè)務(wù)信息進行整合,并能夠共享工作、與他人協(xié)同工作、組織項目和工作組、搜索人員和信息。Microsoft Visual Studio Code是一款開源的代碼編輯器。本周,上述產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在目標(biāo)主機上執(zhí)行代碼、提升權(quán)限等。
CNVD收錄的相關(guān)漏洞包括:Microsoft Windows Win32k權(quán)限提升漏洞(CNVD-2022-29559、CNVD-2022-29560)、Microsoft Windows Telephony Server權(quán)限提升漏洞(CNVD-2022-29562)、Microsoft Windows Upgrade Assistant遠程代碼執(zhí)行漏洞(CNVD-2022-29561)、Microsoft Office遠程代碼執(zhí)行漏洞(CNVD-2022-29564)、Microsoft Windows Kernel信息泄露漏洞(CNVD-2022-29563)、Microsoft SharePoint Server欺騙漏洞(CNVD-2022-29567)、Microsoft Visual Studio Code代碼注入漏洞(CNVD-2022-29568)。其中,“Microsoft Windows Win32k權(quán)限提升漏洞(CNVD-2022-29559、CNVD-2022-29560)、Microsoft Office遠程代碼執(zhí)行漏洞(CNVD-2022-29564)”的綜合評級為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29559
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29562
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29561
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29560
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29564
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29563
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29567
https://www.cnvd.org.cn/flaw/show/CNVD-2022-29568
5、Linux kernel緩沖區(qū)溢出漏洞(CNVD-2022-29295)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。本周,Linux kernel被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞繞過Linux內(nèi)核的訪問限制,通過特定內(nèi)容來讀取或修改數(shù)據(jù)。目前,廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-29295
更多高危漏洞如表4所示,詳細信息可根據(jù)CNVD編號,在CNVD官網(wǎng)進行查詢。參考鏈接:http://www.cnvd.org.cn/flaw/list.htm
表4 部分重要高危漏洞列表
小結(jié):本周,WordPress產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在客戶端執(zhí)行JavaScript代碼,上傳任意文件,竊取數(shù)據(jù)庫敏感數(shù)據(jù)等。此外,Siemens、Google、Microsoft等多款產(chǎn)品被披露存在多個漏洞,攻擊者可利用漏洞在系統(tǒng)上執(zhí)行任意代碼,提升權(quán)限導(dǎo)致拒絕服務(wù)等。另外,Linux kernel被披露存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞繞過Linux內(nèi)核的訪問限制,通過特定內(nèi)容來讀取或修改數(shù)據(jù)。建議相關(guān)用戶隨時關(guān)注上述廠商主頁,及時獲取修復(fù)補丁或解決方案。
來源:CNVD漏洞平臺