(2022 年第 36 期 總第 640 期)

根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì)，本周(2022 年 8 月 29日至 2022 年 9 月 4 日)安全漏洞情況如下：

公開(kāi)漏洞情況

本周 CNNVD 采集安全漏洞 364 個(gè)。

接報(bào)漏洞情況

本周 CNNVD 接報(bào)漏洞 8908 個(gè)，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)86 個(gè)，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)272 個(gè)，漏洞平臺(tái)推送漏洞 8550 個(gè)。

重大漏洞通報(bào)

GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884)：成功利用漏洞的攻擊者可導(dǎo)入惡意制作的項(xiàng)目，進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)多版本受漏洞影響。目前，GitLab 官方已發(fā)布新版本修復(fù)了漏洞，請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

一、公開(kāi)漏洞情況

根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)統(tǒng)計(jì)，本周新增安全漏洞 364個(gè)，漏洞新增數(shù)量有所下降。從廠商分布來(lái)看谷歌公司新增漏洞最多，有 23 個(gè);從漏洞類(lèi)型來(lái)看，SQL 注入類(lèi)的安全漏洞占比最大，達(dá)到7.14%。新增漏洞中，超危漏洞 58 個(gè)，高危漏洞 126 個(gè)，中危漏洞172 個(gè)，低危漏洞 8 個(gè)。相應(yīng)修復(fù)率分別為 58.62%、72.22%、68.60%和 100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì)，合計(jì) 251 個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布，整體修復(fù)率為 68.96%。

(一) 安全漏洞增長(zhǎng)數(shù)量情況

本周 CNNVD 采集安全漏洞 364 個(gè)。

(二) 安全漏洞分布情況

從廠商分布來(lái)看，谷歌公司新增漏洞最多，有 23 個(gè)。各廠商漏洞數(shù)量分布如表 1 所示。

本周?chē)?guó)內(nèi)廠商漏洞 31 個(gè)，友訊公司漏洞數(shù)量最多，有 7 個(gè)。國(guó)內(nèi)廠商漏洞整體修復(fù)率為 50.00%。請(qǐng)受影響用戶關(guān)注廠商修復(fù)情況，及時(shí)下載補(bǔ)丁修復(fù)漏洞。

從漏洞類(lèi)型來(lái)看, SQL 注入類(lèi)的安全漏洞占比最大，達(dá)到 7.14%。漏洞類(lèi)型統(tǒng)計(jì)如表 2 所示。

(三) 安全漏洞危害等級(jí)與修復(fù)情況

本周共發(fā)布超危漏洞 58 個(gè)，高危漏洞 126 個(gè)，中危漏洞 172 個(gè)，低危漏洞8個(gè)。相應(yīng)修復(fù)率分別為58.62%、72.22%、68.60%和100.00%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì)，合計(jì) 251 個(gè)漏洞已有修復(fù)補(bǔ)丁發(fā)布，整體修復(fù)率為 68.96%。詳細(xì)情況如表 3 所示。

(四) 本周重要漏洞實(shí)例

本周重要漏洞實(shí)例如表 4 所示。

1. Apache OFBiz 安全漏洞(CNNVD-202209-094)

Apache OFBiz 是美國(guó)阿帕奇(Apache)基金會(huì)的一套企業(yè)資源計(jì)劃(ERP)系統(tǒng)。該系統(tǒng)提供了一整套基于 Java 的 Web 應(yīng)用程序組件和工具。

Apache OFBiz 18.12.05 版本及之前版本存在安全漏洞，該漏洞源于 Birt 插件存在錯(cuò)誤。攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://lists.apache.org/thread/bvp3sczqq863lxr1wh7wjvdtjbkcwspq

2. Google Chrome 安全漏洞(CNNVD-202208-4409)

Google Chrome 是美國(guó)谷歌(Google)公司的一款 Web 瀏覽器。

Google Chrome 存在安全漏洞，該漏洞源于在 PhoneHub(可以查看手機(jī)的蜂窩信號(hào),電池壽命等)中存在內(nèi)存釋放后重用問(wèn)題。以下產(chǎn)品和版本受到影響：Chrome 105.0.5195.52 (Mac/linux)之前版本和 105.0.5195.52/53/54(Windows)之前版本。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_33.html

3. WordPress plugin WPIDE 路徑遍歷漏洞(CNNVD-202208-4343)6

WordPress 和 WordPress plugin 都是 WordPress 基金會(huì)的產(chǎn)品。WordPress 是一套使用 PHP 語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在 PHP和 MySQL 的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin 是一個(gè)應(yīng)用插件。

WordPress plugin WPIDE 3.0 之前版本存在路徑遍歷漏洞，該漏洞源于不會(huì)對(duì) filename 參數(shù)進(jìn)行清理和驗(yàn)證。

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://wpscan.com/vulnerability/f6091d7b-97b5-42f2-b2f4-09a0fe6d5a21

二、漏洞平臺(tái)推送情況

本周漏洞平臺(tái)推送漏洞 8550 個(gè)。

三、接報(bào)漏洞情況

本周 CNNVD 接報(bào)漏洞 358 個(gè)，其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)86 個(gè)，網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)272 個(gè)。（詳情略））

四、接報(bào)漏洞通報(bào)情況

本周 CNNVD 接報(bào)漏洞通報(bào) 105 份。（詳情略）

五、重大漏洞通報(bào)

CNNVD 關(guān)于 GitLab 安全漏洞的通報(bào)

近日，國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于 GitLab 安全漏洞(CNNVD-202208-3803、CVE-2022-2884)情況的報(bào)送。經(jīng)身份驗(yàn)證的攻擊者利用該漏洞可導(dǎo)入惡意制作的項(xiàng)目，進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)多版本受漏洞影響。目前，GitLab 官方已發(fā)布新版本修復(fù)了漏洞，請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

. 漏洞介紹

GitLab 是美國(guó) GitLab 公司的一款軟件項(xiàng)目倉(cāng)庫(kù)應(yīng)用程序，具有版本控制、問(wèn)題跟蹤、代碼審查、持續(xù)集成和持續(xù)交付等功能。

. 危害影響

經(jīng)身份驗(yàn)證的攻擊者利用該漏洞可導(dǎo)入惡意制作的項(xiàng)目，進(jìn)而導(dǎo)致在目標(biāo)系統(tǒng)遠(yuǎn)程代碼執(zhí)行。GitLab(CE/EE)的 11.3.4 至 15.1.5之前版本、15.2 至 15.2.3 之前版本、15.3 至 15.3.1 之前版本受該漏洞影響。

.修復(fù)建議

目前，GitLab 官方已發(fā)布新版本修復(fù)了漏洞，請(qǐng)用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。官方鏈接如下：

https://about.gitlab.com/releases/2022/08/22/critical-security-release-gitlab-15-3-1-released/

來(lái)源：國(guó)家信息安全漏洞庫(kù)網(wǎng)站