本周漏洞態勢研判情況

本周信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞178個，其中高危漏洞67個、中危漏洞92個、低危漏洞19個。漏洞平均分值為5.88。本周收錄的漏洞中，涉及0day漏洞86個(占48%)，其中互聯網上出現“WUZHI CMS SQL注入漏洞(CNVD-2022-36985)、BluditCMS跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數8445個，與上周(14613個)環比減少42%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

圖2 CNVD 0day漏洞總數按周統計

本周漏洞事件處置情況

本周，CNVD向銀行、保險、能源等重要行業單位通報漏洞事件44起，向基礎電信企業通報漏洞事件43起，協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件516起，協調教育行業應急組織驗證和處置高?？蒲性核到y漏洞事件90起，向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件128起。

圖3 CNVD各行業漏洞處置情況按周統計

圖4 CNCERT各分中心處置情況按周統計

圖5 CNVD教育行業應急組織處置情況按周統計

此外，CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞，具體處置單位情況如下所示：

重慶中聯信息產業有限責任公司、浙江中易慧能科技有限公司、浙江浙大中控信息技術有限公司、浙江大華技術股份有限公司、云南博爾科技有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、兄弟(中國)商業有限公司、新道科技股份有限公司、夏普商貿(中國)有限公司、西安中望軟件資訊有限責任公司、西安瑞友信息技術資訊有限公司、武漢眾為信息技術有限公司、微軟(中國)有限公司、網經科技(蘇州)有限公司、通贏天下(天津)網絡科技有限公司、四川萬博教育軟件股份有限公司、神州數碼控股有限公司、深圳維盟科技股份有限公司、深圳市鎮安科技有限公司、深圳市思迪信息技術股份有限公司、深圳市庫迪科技有限公司、深圳市集時通訊有限公司、深圳市吉祥騰達科技有限公司、深圳市河辰通訊技術有限公司、深圳市和為順網絡技術有限公司、深圳市共濟科技股份有限公司、深圳市多酷科技有限公司、深圳市必聯電子有限公司、深圳齊心好視通云計算有限公司、深圳科士達科技股份有限公司、上海展盟網絡科技有限公司、上海云翌通信科技有限公司、上海焱鳳信息技術有限公司、上海攜寧計算機科技股份有限公司、上海威派格智慧水務股份有限公司、上海樹維信息科技有限公司、上海商湯智能科技有限公司、上海商派網絡科技有限公司、上海華測導航技術股份有限公司、上海博達數據通信有限公司、上海愛數信息技術股份有限公司、上海艾泰科技有限公司、山東歐倍爾軟件科技有限責任公司、廈門網中網軟件有限公司、廈門四信通信科技有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、全天數據管理有限公司、麒麟軟件有限公司、普聯技術有限公司、品道電子商務有限公司、內蒙古奔富畜牧業發展有限公司、南京天溯自動化控制系統有限公司、廊坊市極致網絡科技有限公司、藍網科技股份有限公司、藍盾信息安全技術股份有限公司、昆明云濤科技有限公司、京瓷辦公信息系統(中國)有限公司、金滿壩(深圳)科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、湖南建研信息技術股份有限公司、恒鋒信息科技股份有限公司、杭州三匯信息工程有限公司、杭州企盼信息科技有限公司、杭州吉拉科技有限公司、杭州宏服軟件有限公司、杭州?？低晹底旨夹g股份有限公司、杭州迪普科技股份有限公司、哈爾濱新中新電子股份有限公司、廣州中望龍騰軟件股份有限公司、廣州市保倫電子有限公司、廣州齊博網絡科技有限公司、廣州南方衛星導航儀器有限公司、廣州國微軟件科技有限公司、廣西南寧領眾網絡科技有限公司、廣東堡塔安全技術有限公司、福州青格軟件有限公司、鼎捷軟件股份有限公司、成都星銳藍海網絡科技有限公司、成都萬江港利科技有限公司、成都索貝數碼科技股份有限公司、北京中創視訊科技有限公司、北京致遠互聯軟件股份有限公司、北京云中融信網絡科技有限公司、北京星網銳捷網絡技術有限公司、北京通達信科科技有限公司、北京淘友天下科技發展有限公司、北京拓爾思信息技術股份有限公司、北京數影互聯科技有限公司、北京清元優軟科技有限公司、北京派網軟件有限公司、北京九思協同軟件有限公司、北京華遠達智聯科技集團有限公司、北京華宇信息技術有限公司、北京函云數據科技有限公司、北京博海琪林科技有限公司、北京百卓網絡技術有限公司、安徽旭帆信息科技有限公司、安徽藍盾光電子股份有限公司、騰訊安全應急響應中心、站幫主CMS、勾股CMS、Victor CMS、TRENDnet、LuckyFrame、LG、FTCMS、EZB Systems, Inc、Dreambox Visual Communications、Cisco、canonical和Axis CommunicationsAB。

本周，CNVD發布了《Microsoft發布2022年5月安全更新》。詳情參見CNVD網站公告內容。

https://www.cnvd.org.cn/webinfo/show/7681

本周漏洞報送情況統計

本周報送情況如表1所示。其中，阿里云計算有限公司、新華三技術有限公司、深信服科技股份有限公司、杭州安恒信息技術股份有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數量較多。重慶都會信息科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、快頁信息技術有限公司、華魯數智信息技術(北京)有限公司、廣州百蘊啟辰科技有限公司、上海紐盾科技股份有限公司、山石網科通信技術股份有限公司、武漢安域信息安全技術有限公司、貴州泰若數字科技有限公司、河南信安世紀科技有限公司、山東云天安全技術有限公司、北京冠程科技有限公司、智網安云(武漢)信息技術有限公司、智網安云(武漢)信息技術有限公司、巨鵬信息科技有限公司、上海觀安信息技術股份有限公司、北京國測信安科技有限公司、北京山石網科信息技術有限公司、廣東藍爵網絡安全技術股份有限公司、安徽長泰科技有限公司、北京機沃科技有限公司、杭州默安科技有限公司及其他個人白帽子向CNVD提交了8445個以事件型漏洞為主的原創漏洞，其中包括斗象科技(漏洞盒子)、上海交大、奇安信網神(補天平臺)和三六零數字安全科技集團有限公司向CNVD共享的白帽子報送的6153條原創漏洞信息。

表1 漏洞報送情況統計表

本周漏洞按類型和廠商統計

本周，CNVD收錄了178個漏洞。WEB應用66個，應用程序56個，網絡設備(交換機、路由器等網絡端設備)30個，數據庫11個，操作系統9個，智能設備(物聯網終端設備)5個，安全產品1個。

表2 漏洞按影響類型統計表

圖6 本周漏洞按影響類型分布

CNVD整理和發布的漏洞涉及Siemens、杭州益仕行信息技術有限公司、Oracle等多家廠商的產品，部分漏洞數量按廠商統計如表3所示。

表3 漏洞產品涉及廠商分布統計表

本周行業漏洞收錄情況

本周，CNVD收錄了7個電信行業漏洞，2個移動互聯網行業漏洞，4個工控行業漏洞(如下圖所示)。其中，“Siemens SIMATIC CP 44x-1 RNA拒絕服務漏洞、Google Android內存錯誤引用漏洞(CNVD-2022-36961)”等漏洞的綜合評級為“高?！?。相關廠商已經發布了漏洞的修補程序，請參照CNVD相關行業漏洞庫鏈接。

電信行業漏洞鏈接：http://telecom.cnvd.org.cn/

移動互聯網行業漏洞鏈接：http://mi.cnvd.org.cn/

工控系統行業漏洞鏈接：http://ics.cnvd.org.cn/

圖7 電信行業漏洞統計

圖8 移動互聯網行業漏洞統計

圖9 工控系統行業漏洞統計

本周重要漏洞安全告警

本周，CNVD整理和發布以下重要安全漏洞信息。

1、Mozilla產品安全漏洞

Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。Mozilla Firefox是一款開源Web瀏覽器。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導致內存損壞等。

CNVD收錄的相關漏洞包括：Mozilla Firefox跨站腳本漏洞(CNVD-2022-36976)、MozillaFirefox欺騙攻擊漏洞、Mozilla Firefox無限循環漏洞、Mozilla Firefox資源管理錯誤漏洞(CNVD-2022-36980)、MozillaFirefox安全特征問題漏洞、Mozilla Firefox MessageTask資源管理錯誤漏洞、Mozilla Thunderbird信息泄露漏洞(CNVD-2022-36982)、MozillaFirefox信息泄露漏洞(CNVD-2022-36981)。其中，“Mozilla Firefox安全特征問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36976

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36978

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36977

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36980

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36979

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36983

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36982

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36981

2、IBM產品安全漏洞

IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品。IBMCloud Pak System是美國IBM公司的一套具有可配置、預集成軟件的全棧、融合基礎架構。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品。IBMSecurity Guardium Data Encryption是美國IBM公司的一個應用軟件。IBM MQ Appliance是美國IBM公司的一款用于快速部署企業級消息中間件的一體機設備。IBM Watson Query是美國IBM公司的一個通用查詢引擎。IBM Cloud Pak for Business Automation是美國國際商業機器公司(IBM)的一組模塊化的集成軟件組件。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞解密敏感信息，枚舉賬戶憑證，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Robotic Process Automation授權問題漏洞、IBM Cloud Pak System加密問題漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption(GDE)跨站腳本漏洞、IBMMQ Appliance信息泄露漏洞(CNVD-2022-36975)、IBMMQ Appliance拒絕服務漏洞(CNVD-2022-36974)、IBMWatson Query with Cloud Pak for Data as a Service權限提升漏洞、IBM Cloud Pak for Business Automation訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36971

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36969

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36968

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36967

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36975

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36973

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36972

3、SIEMENS產品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。Desigo PXC4樓宇自動化控制器是為暖通空調系統控制而設計的。它是一款緊湊型設備，內置IOs，能夠通過額外的TX-IO模塊擴展到您的需要。Desigo PXC5是一款可自由編程控制器，用于BACnet系統級功能，如報警路由、系統范圍的調度和趨勢分析，以及設備監控。Desigo DXR2控制器是可編程的自動化站，以支持終端HVAC設備和TRA(全房間自動化)應用的標準控制需求。Desigo PXC3系列自動化站可用于功能性和靈活性要求更高的建筑。SICAM P850多功能測量裝置用于采集、可視化、評估和傳輸電氣測量變量，如交流電、交流電壓、頻率、功率、諧波等。SICAM P855多功能設備用于收集、顯示和傳輸測量的電氣變量，如交流電流、交流電壓、功率類型、諧波等。根據電能質量標準IEC 61000-4-30收集和處理測量值和事件。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問設備的管理界面，在當前進程的上下文中執行代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens JT2Go和TeamcenterVisualization雙重釋放漏洞(CNVD-2022-36381)、SiemensJT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXRDevices遠程代碼執行漏洞、Siemens Desigo PXC和DXRDevices不受控制資源消耗漏洞、Siemens SICAM P850和SICAMP855 Devices跨站腳本漏洞(CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391)、SiemensSICAM P850和SICAM P855 Devices繞過身份驗證漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36379

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36378

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36389

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36393

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36391

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36395

4、Oracle產品安全漏洞

Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統。Oracle WebLogic Server是一款適用于云環境和傳統環境的應用服務中間件。Oracle MySQL是一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。OracleDatabase Server是一套關系數據庫管理系統。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數據，執行任意代碼等。

CNVD收錄的相關漏洞包括：Oracle Solaris輸入驗證錯誤漏洞(CNVD-2022-36946)、OracleWebLogic Server輸入驗證錯誤漏洞(CNVD-2022-36951)、OracleMySQL InnoDB組件拒絕服務漏洞、Oracle Database Server輸入驗證錯誤漏洞(CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958)、Oracle MySQL輸入驗證錯誤漏洞(CNVD-2022-36955)。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36946

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36951

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36949

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36954

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36953

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36952

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36958

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36955

5、Delta Electronics DIAEnergieSQL注入漏洞(CNVD-2022-36031)

Delta Electronics DIAEnergie是一個工業能源管理系統，用于實時監控和分析能源消耗、計算能源消耗和負載特性、優化設備性能、改進生產流程并最大限度地提高能源效率。本周，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令。目前，廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031

小結：本周，Mozilla產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導致內存損壞等。此外，IBM、Siemens、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數據，在當前進程的上下文中執行代碼，造成拒絕服務等。另外，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

本周重要漏洞攻擊驗證情況

本周，CNVD建議注意防范以下已公開漏洞攻擊驗證情況。

1、Bludit CMS跨站腳本漏洞

驗證描述

Bludit CMS是一套開源的輕量級博客內容管理系統(CMS)。

Bludit CMS v3.13.1版本存在跨站腳本漏洞，該漏洞源于/admin/new-content頁面缺少對于用戶輸入數據的過濾和驗證。攻擊者可利用該漏洞在客戶端執行JavaScript代碼。

驗證信息

POC鏈接：

https://github.com/joinia/webray.com.cn/blob/main/Bludit/Bluditreadme.md

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36994

信息提供者

新華三技術有限公司

注：以上驗證信息(方法)可能帶有攻擊性，僅供安全研究之用。請廣大用戶加強對漏洞的防范工作，盡快下載相關補丁。

來源：CNVD漏洞平臺