(2022年04月18日-2022年04月24日)

本周漏洞態勢研判情況

本周信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞369個，其中高危漏洞110個、中危漏洞219個、低危漏洞40個。漏洞平均分值為5.81。本周收錄的漏洞中，涉及0day漏洞192個(占52%)，其中互聯網上出現“AeroCMS跨站腳本漏洞(CNVD-2022-30784)、CxuuCms跨站腳本漏洞(CNVD-2022-31818)”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數9337個，與上周(4626個)環比增加102%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

本周漏洞事件處置情況

本周，CNVD向銀行、保險、能源等重要行業單位通報漏洞事件83起，向基礎電信企業通報漏洞事件60起，協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件940起，協調教育行業應急組織驗證和處置高?？蒲性核到y漏洞事件119起，向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件160起。

此外，CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞，具體處置單位情況如下所示：

紫光股份有限公司、淄博閃靈網絡科技有限公司、珠海奧威軟件科技有限公司、重慶中聯信息產業有限責任公司、重慶楚捷科技有限公司、眾勤通信設備貿易(上海)有限公司、中易云(唐山)物聯網科技有限公司、中國南玻集團股份有限公司、鄭州木云電子科技有限公司、浙江宇視科技有限公司、長沙米拓信息技術有限公司、云南鏈滴科技有限公司、昱能科技股份有限公司、用友網絡科技股份有限公司、易赳科技(集團)有限公司、兄弟(中國)商業有限公司、新開普電子股份有限公司、西安九佳易信息資訊有限公司、西安建大靜態交通研究院有限公司、西安佰聯網絡技術有限公司、武漢天地偉業科技有限公司、武漢客客信息技術有限公司、武漢漸入佳競網絡科技有限公司、武漢達夢數據庫股份有限公司、溫州互引信息技術有限公司、微軟(中國)有限公司、通用電氣(GE)公司、臺達電子企業管理(上海)有限公司、蘇州科達科技股份有限公司、四平市九州易通科技有限公司、四川迅睿云軟件開發有限公司、視聯動力信息技術股份有限公司、深圳云安寶科技有限公司、深圳維盟科技股份有限公司、深圳市迅捷通信技術有限公司、深圳市微客互動有限公司、深圳市網域科技技術有限公司、深圳市萬網博通科技有限公司、深圳市思迅軟件股份有限公司、深圳市吉祥騰達科技有限公司、上海卓卓網絡科技有限公司、上海卓佑計算機技術有限公司、上海遠豐信息科技(集團)有限公司、上海盈策信息技術有限公司、上海銀宇信息技術有限公司、上海攜寧計算機科技股份有限公司、上海物創信息科技有限公司、上海七牛信息技術有限公司、上海納宇電氣有限公司、上海寬爾網絡科技有限公司、上?？咸貎x表股份有限公司、上海鴻翼軟件技術股份有限公司、上海海典軟件股份有限公司、上海孚盟軟件有限公司、上海泛微網絡科技股份有限公司、上海二三四五網絡科技有限公司、上海締安科技股份有限公司、上海大漢三通數據通信有限公司、熵基科技股份有限公司、山西企凝信息科技有限公司、山東中創軟件商用中間件股份有限公司、山東山大華天軟件有限公司、山東康程信息科技有限公司、山東環球軟件股份有限公司、廈門一指通智能科技有限公司、廈門四信通信科技有限公司、三星(中國)投資有限公司、瑞昱半導體股份有限公司、融成(天津)信息技術有限公司、任子行網絡股份有限公司、群暉網絡科技(上海)有限公司、麒麟軟件有限公司、南京云網匯聯軟件技術有限公司、南京酷軟軟件有限公司、南京笨驢信息技術有限公司、美的集團股份有限公司、滿金壩(深圳)科技有限公司、臨沭縣俊澤商貿有限公司、朗坤智慧科技股份有限公司、廊坊市極致網絡科技有限公司、江蘇曼荼羅軟件股份有限公司、佳能(中國)有限公司、濟南拓興電子科技有限公司、濟南亙安信息技術有限公司、吉翁電子(深圳)有限公司、惠普貿易(上海)有限公司、華碩電腦(上海)有限公司、湖南建研信息技術股份有限公司、湖南創星科技股份有限公司、湖南奧科網絡技術股份有限公司、湖北點點點科技有限公司、恒熱投資控股有限公司、河南新遠方商翼電子科技有限公司、河南恩熙信息技術有限公司、河北利萬信息科技有限公司、杭州益仕行信息技術有限公司、杭州雄偉科技開發股份有限公司、杭州圖特信息科技有限公司、杭州荷花軟件有限公司、杭州貝騰科技有限公司、漢王科技股份有限公司、海南贊贊網絡科技有限公司、哈爾濱新中新電子股份有限公司、廣州月月鳥智能科技有限公司、廣州倚和視光科技有限公司、廣州圖創計算機軟件開發有限公司、廣州齊博網絡科技有限公司、廣州靈犀互動娛樂有限公司、廣州巨杉軟件開發有限公司、廣州紅帆科技有限公司、廣聯達科技股份有限公司、福州凌頂軟件有限公司、東莞市天策網絡科技有限公司、大唐電信科技股份有限公司、大連貝芙瑞美容服務有限公司、成都同飛科技有限責任公司、北京中創視訊科技有限公司、北京智網科技股份有限公司、北京云帆互聯科技有限公司、北京星網銳捷網絡技術有限公司、北京象新力科技有限公司、北京五指互聯科技有限公司、北京網御星云信息技術有限公司、北京通達信科科技有限公司、北京天威誠信電子商務服務有限公司、北京神州數碼云科信息技術有限公司、北京上元信安技術有限公司、北京九思協同軟件有限公司、北京宏業超世紀科技有限公司、北京東華原醫療設備有限責任公司、北京超圖軟件股份有限公司、北京碧海威科技有限公司、北京百卓網絡技術有限公司、北京百變悟空科技有限公司、安科瑞電氣股份有限公司、安川電機(中國)有限公司、阿里巴巴集團安全應急響應中心、沈陽市皇姑區愛濃網絡技術服務中心、梓豪團隊、三菱電機株式會社、夢想CMS、zzzcms、ZZCMS、X6CMS、VMware、Sonatype、SeaCMS、Redis、Pluck CMS、PHPGurukul、OneBlog、NETGEAR、MinIO、JreCms、Fronius、FANUC、DM建站系統、CuppaCMS、Cesanta和Adobe。

本周，CNVD發布了《Oracle發布2022年4月的安全公告》。詳情參見CNVD網站公告內容。

https://www.cnvd.org.cn/webinfo/show/7626

本周漏洞報送情況統計

本周報送情況如表1所示。其中，深信服科技股份有限公司、新華三技術有限公司、安天科技集團股份有限公司、北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司等單位報送公開收集的漏洞數量較多。北京華順信安科技有限公司、杭州?？低晹底旨夹g股份有限公司、北京山石網科信息技術有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、長春嘉誠信息技術股份有限公司、內蒙古洞明科技有限公司、杭州迪普科技股份有限公司、南京樹安信息技術有限公司、北京水木羽林科技有限公司、上海紐盾科技股份有限公司、貴州泰若數字科技有限公司、重慶都會信息科技、河南靈創電子科技有限公司、河南信安世紀科技有限公司、福建省海峽信息技術有限公司、河北千誠電子科技有限公司、河南東方云盾信息技術有限公司、北京百度網訊科技有限公司、快頁信息技術有限公司、山東云天安全技術有限公司、交通運輸信息安全中心有限公司、山石網科通信技術股份有限公司、武漢安域信息安全技術有限公司、廣西等保安全測評有限公司、江蘇保旺達軟件技術有限公司、山東澤鹿安全技術有限公司、河南省鼎信信息安全等級測評有限公司、北京惠而特科技有限公司、賽爾網絡有限公司山東分公司、南京節點安全技術有限公司、河北華測信息技術有限公司、深圳市魔方安全科技有限公司、南京深安科技有限公司、北京威努特技術有限公司、江蘇天競云合數據技術有限公司、麒麟軟件有限公司、廣西塔易信息技術有限公司、上海上訊信息技術股份有限公司、南京禾盾信息科技有限公司、北京機沃科技有限公司、蘇州棱鏡七彩信息科技有限公司、海南神州希望網絡有限公司、京東探索研究院信息安全實驗室、聯想集團、任子行網絡技術股份有限公司及其他個人白帽子向CNVD提交了9337個以事件型漏洞為主的原創漏洞，其中包括上海交大、斗象科技(漏洞盒子)和奇安信網神(補天平臺)向CNVD共享的白帽子報送的5979條原創漏洞信息。

表1 漏洞報送情況統計表

本周漏洞按類型和廠商統計

本周，CNVD收錄了369個漏洞。WEB應用179個，應用程序80個，網絡設備(交換機、路由器等網絡端設備)60個，數據庫23個，操作系統14個，智能設備(物聯網終端設備)12個，安全產品1個。

表2 漏洞按影響類型統計表

圖2 本周漏洞按影響類型分布

CNVD整理和發布的漏洞涉及Bentley Systems、WordPress、Oracle等多家廠商的產品，部分漏洞數量按廠商統計如表3所示。

表3 漏洞產品涉及廠商分布統計表

本周行業漏洞收錄情況

本周，CNVD收錄了63個電信行業漏洞，8個移動互聯網行業漏洞，5個工控行業漏洞(如下圖所示)。其中，“DrayTek Vigor遠程命令注入漏洞、Wire跨站腳本漏洞(CNVD-2022-31755)”等漏洞的綜合評級為“高?！?。相關廠商已經發布了漏洞的修補程序，請參照CNVD相關行業漏洞庫鏈接。

電信行業漏洞鏈接：http://telecom.cnvd.org.cn/

移動互聯網行業漏洞鏈接：http://mi.cnvd.org.cn/

工控系統行業漏洞鏈接：http://ics.cnvd.org.cn/

圖3 電信行業漏洞統計

圖4 移動互聯網行業漏洞統計

圖5 工控系統行業漏洞統計

本周重要漏洞安全告警

本周，CNVD整理和發布以下重要安全漏洞信息。

1、Google產品安全漏洞

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。Google Fscrypt是美國谷歌(Google)公司的一個開源高級工具。用于管理 Linux 本機文件系統加密。Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，升級系統上的權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android輸入驗證錯誤漏洞(CNVD-2022-31771、CNVD-2022-31845)、Google fscrypt命令注入漏洞、Google Android緩沖區溢出漏洞(CNVD-2022-31836、CNVD-2022-31840)、Google Chrome輸入驗證錯誤漏洞(CNVD-2022-31839)、Google Android權限許可和訪問控制問題漏洞(CNVD-2022-31846、CNVD-2022-31844)。其中，除“Google Android輸入驗證錯誤漏洞(CNVD-2022-31771、CNVD-2022-31836)、Google Chrome輸入驗證錯誤漏洞(CNVD-2022-31839)”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31771

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31832

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31836

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31840

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31839

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31846

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31845

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31844

2、ASUS產品安全漏洞

ASUS RT-AX56U是中國臺灣華碩(ASUS)公司的一款無線路由器。ASUS RT-AC86U是中國華碩(ASUS)公司的一款雙頻Wi-Fi路由器。ASUS RT-AC56U是中國華碩(ASUS)公司的一款雙頻Wi-Fi路由器。MyASUS是中國華碩(ASUS)公司的一個華碩官方PC應用程序。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數據庫，執行任意代碼，執行任意操作或中斷服務等。

CNVD收錄的相關漏洞包括：ASUS RT-AX56U update_json函數路徑遍歷漏洞、ASUS RT-AC56U堆緩沖區溢出漏洞、ASUS RT-AC86U輸入驗證錯誤漏洞、ASUS RT-AX56U堆棧緩沖區溢出漏洞、ASUS RT-AX56U SQL注入漏洞、ASUS RT-AX56U update_PLC/PORT文件路徑遍歷漏洞、ASUS MyASUS權限提升漏洞、ASUS RT-AC86U命令注入漏洞。其中，“ASUS MyASUS權限提升漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31516

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31521

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31520

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31519

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31518

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31517

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31525

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31522

3、ZOHO產品安全漏洞

ZOHO ManageEngine ServiceDesk Plus(SDP)是美國卓豪(ZOHO)公司的一套基于ITIL架構的IT服務管理軟件。該軟件集成了事件管理、問題管理、資產管理IT項目管理、采購與合同管理等功能模塊。ZOHO ManageEngine Adaudit Plus是美國Zoho Corporation公司的用于簡化審計、證明合規性和檢測威脅。ZOHO ManageEngine Netflow Analyzer是美國卓豪(ZOHO)公司的一套基于Web的帶寬監控工具。該產品主要用于帶寬監控和流量分析。ZOHO ManageEngine SharePoint Manager Plus是美國卓豪(ZOHO)公司的一個完整管理和審計解決方案。ZOHO ManageEngine Desktop Central(DC)是美國卓豪(ZOHO)公司的一套桌面管理解決方案。該方案包含軟件分發、補丁管理、系統配置、遠程控制等功能模塊，可對桌面機以及服務器管理的整個生命周期提供支持。ZOHO ManageEngine Key Manager Plus是卓豪(ZOHO)公司的一套基于WEB的SSH秘鑰管理解決方案。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取供應商貨幣詳細信息，在集成產品上進行經過身份驗證的權限提升，進行遠程代碼執行等。

CNVD收錄的相關漏洞包括：ZOHO ManageEngine ServiceDesk Plus信息泄露漏洞(CNVD-2022-29863)、Zoho ManageEngine ADAudit Plus遠程代碼執行漏洞、Zoho ManageEngine ADAudit Plus權限提升漏洞、Zoho ManageEngine Netflow Analyzer Professional跨站腳本漏洞、ZOHO ManageEngine SharePoint Manager Plus權限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權問題漏洞、ZOHO ManageEngine Desktop Central信息泄露漏洞(CNVD-2022-29876)、ZOHO ManageEngine Key Manager Plus信息泄露漏洞。其中，“Zoho ManageEngine ADAudit Plus遠程代碼執行漏洞、ZOHO ManageEngine SharePoint Manager Plus權限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29863

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29866

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29864

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29867

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29874

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29873

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29876

https://www.cnvd.org.cn/flaw/show/CNVD-2022-29875

4、Oracle產品安全漏洞

Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle Commerce是美國甲骨文(Oracle)公司的一套電子商務解決方案。Oracle Virtualization和Oracle VM VirtualBox都是美國甲骨文(Oracle)公司的產品。Oracle Virtualization是一套虛擬化解決方案。該產品用于統一管理從應用程序到磁盤的整個硬件和軟件體系，可實現從桌面到數據中心的虛擬化。VM VirtualBox是其中的一個虛擬機組件。Oracle VM VirtualBox是一款虛擬機管理軟件。Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致MySQL Server掛起或頻繁重復崩潰(完全 DOS)，執行Oracle VM VirtualBox的基礎設施來破壞Oracle VM VirtualBox等。

CNVD收錄的相關漏洞包括：Oracle MySQL輸入驗證錯誤漏洞(CNVD-2022-31681、CNVD-2022-31688、CNVD-2022-31687、CNVD-2022-31686)、Oracle Virtualization和Oracle VM VirtualBox輸入驗證錯誤漏洞(CNVD-2022-31685)、Oracle Commerce輸入驗證錯誤漏洞(CNVD-2022-31684)、Oracle Virtualization和Oracle VM VirtualBox輸入驗證錯誤漏洞(CNVD-2022-31683)、Oracle Solaris拒絕服務漏洞(CNVD-2022-31682)。其中，“Oracle Commerce輸入驗證錯誤漏洞(CNVD-2022-31684)”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31681

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31684

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31683

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31682

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31686

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31685

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31688

https://www.cnvd.org.cn/flaw/show/CNVD-2022-31687

5、Linux kernel資源管理錯誤漏洞(CNVD-2022-31767)

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。本周，Linux kernel被披露存在資源管理錯誤漏洞。攻擊者可利用該漏洞造成拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-31767

更多高危漏洞如表4所示，詳細信息可根據CNVD編號，在CNVD官網進行查詢。參考鏈接：http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

小結：本周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，升級系統上的權限，執行任意代碼等。此外，ASUS、ZOHO、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數據庫，執行任意代碼，執行任意操作或中斷服務等。另外，Linux kernel被披露存在資源管理錯誤漏洞。攻擊者可利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

文章來源：CNVD漏洞平臺 ，作者CNVD