(2022年06月20日-2022年06月26日)

本周漏洞態勢研判情況

本周信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞383個，其中高危漏洞149個、中危漏洞202個、低危漏洞32個。漏洞平均分值為6.03。本周收錄的漏洞中，涉及0day漏洞290個(占76%)，其中互聯網上出現“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數8658個，與上周(9231個)環比減少6%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

本周漏洞事件處置情況

本周，CNVD向銀行、保險、能源等重要行業單位通報漏洞事件22起，向基礎電信企業通報漏洞事件32起，協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件697起，協調教育行業應急組織驗證和處置高?？蒲性核到y漏洞事件125起，向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件112起。

此外，CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞，具體處置單位情況如下所示：

重慶梅安森科技股份有限公司、友訊電子設備(上海)有限公司、兄弟(中國)商業有限公司、夏普商貿(中國)有限公司、武漢金同方科技有限公司、衛寧健康科技集團股份有限公司、微軟(中國)有限公司、蘇州祥云平臺信息技術有限公司、蘇州思迪信息技術有限公司、四川千行你我科技股份有限公司、深圳智沃科技有限公司、深圳維盟科技股份有限公司、深圳市圖美電子技術有限公司、深圳市銳明技術股份有限公司、深圳市吉祥騰達科技有限公司、上海卓卓網絡科技有限公司、上海茸易科技有限公司、瑞斯康達科技發展股份有限公司、普聯技術有限公司、明騰網絡股份有限公司、聯想圖像(北京)科技有限公司、廊坊市極致網絡科技有限公司、惠普貿易(上海)有限公司、華碩電腦(上海)有限公司、湖南省思派電子科技有限公司、湖南快樂陽光互動娛樂傳媒有限公司、湖南建研信息技術股份有限公司、洪湖爾創網聯信息技術有限公司、恒鋒信息科技股份有限公司、杭州雄偉科技開發股份有限公司、杭州恒生數字設備科技有限公司、廣州紅帆科技有限公司、廣東頂固集創家居股份有限公司、北京卓易訊暢科技有限公司、北京致遠互聯軟件股份有限公司、北京易勤信息技術有限公司、北京億賽通科技發展有限責任公司、北京星網銳捷網絡技術有限公司、北京信安世紀科技股份有限公司、北京網康科技有限公司、北京萬戶網絡技術有限公司、北京通達志成科技有限公司、北京通達信科科技有限公司、北京潤乾信息系統技術有限公司、北京良精志誠科技有限責任公司、北京九思協同軟件有限公司、北京寶蘭德軟件股份有限公司、北京百卓網絡技術有限公司、網展科技、寶利通公司、易迅軟件工作室、The Apache Software Foundation、Texas Instruments、ST Engineering iDirect, Inc. dba iDirect、SEMCMS、JFinalOA和Adobe。

本周漏洞報送情況統計

本周報送情況如表1所示。其中，新華三技術有限公司、深信服科技股份有限公司、北京神州綠盟科技有限公司、北京數字觀星科技有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數量較多。重慶都會信息科技有限公司、上海紐盾科技股份有限公司、杭州默安科技有限公司、河南東方云盾信息技術有限公司、北京安盟信息技術股份有限公司、河南靈創電子科技有限公司、北京天地和興科技有限公司、河南信安世紀科技有限公司、北京升鑫網絡科技有限公司、廈門捷諾通信息技術股份有限公司、新疆海狼科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、浙江木鏈物聯網科技有限公司、中國電信股份有限公司甘肅分公司、貴州泰若數字科技有限公司、江蘇國泰新點軟件有限公司、廣州百蘊啟辰科技有限公司、思而聽網絡科技有限公司及其他個人白帽子向CNVD提交了8658個以事件型漏洞為主的原創漏洞，其中包括斗象科技(漏洞盒子)、上海交大和奇安信網神(補天平臺)向CNVD共享的白帽子報送的6964條原創漏洞信息。

表1 漏洞報送情況統計表（略）

本周漏洞按類型和廠商統計

本周，CNVD收錄了383個漏洞。WEB應用206個，應用程序80個，網絡設備(交換機、路由器等網絡端設備)56個，操作系統20，智能設備(物聯網終端設備)11個，安全產品8個，數據庫2個。

表2 漏洞按影響類型統計表

圖2 本周漏洞按影響類型分布

CNVD整理和發布的漏洞涉及Adobe、WordPress、Google等多家廠商的產品，部分漏洞數量按廠商統計如表3所示。

表3 漏洞產品涉及廠商分布統計表

本周行業漏洞收錄情況

本周，CNVD收錄了43個電信行業漏洞，22個移動互聯網行業漏洞，7個工控行業漏洞(如下圖所示)。其中，“Xiaomi Router AX3600命令注入漏洞、Siemens SIMATIC WinCC OA客戶端身份驗證漏洞”等漏洞的綜合評級為“高?！?。相關廠商已經發布了漏洞的修補程序，請參照CNVD相關行業漏洞庫鏈接。

電信行業漏洞鏈接：http://telecom.cnvd.org.cn/

移動互聯網行業漏洞鏈接：http://mi.cnvd.org.cn/

工控系統行業漏洞鏈接：http://ics.cnvd.org.cn/

圖3 電信行業漏洞統計

圖4 移動互聯網行業漏洞統計

圖5 工控系統行業漏洞統計

本周重要漏洞安全告警

本周，CNVD整理和發布以下重要安全漏洞信息。

1、Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Acrobat Reader是一款PDF查看器。Adobe Reader是一套PDF文檔閱讀軟件。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：多款Adobe產品資源管理錯誤漏洞(CNVD-2022-46965、CNVD-2022-46966、CNVD-2022-46971、CNVD-2022-46970、CNVD-2022-46972、CNVD-2022-46977、CNVD-2022-46976、CNVD-2022-46975)。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46965

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46966

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46971

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46970

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46972

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46977

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46976

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46975

2、Google產品安全漏洞

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限升級，文件選擇器中的遠程持續拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android緩沖區溢出漏洞(CNVD-2022-46292、CNVD-2022-46298、CNVD-2022-46301、CNVD-2022-46294、CNVD-2022-46293)、Google Android拒絕服務漏洞(CNVD-2022-46296、CNVD-2022-46290)、Google Android越界寫入漏洞(CNVD-2022-46299)。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46292

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46290

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46293

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46296

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46299

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46298

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46301

3、IBM產品安全漏洞

IBM Planning Analytics是美國IBM公司的一套業務規劃分析解決方案。該方案支持自動化執行業務規劃、預算和分析等流程。IBM Security Identity Manager(ISIM)是一套身份管理和治理解決方案。IBM UrbanCode Deploy(UCD)是一套應用自動化部署工具。IBM Security Guardium是一套提供數據保護功能的平臺。IBM System Storage DS8000 Hardware Management Console是一個IBM存儲介質平臺DS8000的硬件管理控制臺。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，上傳任意可執行文件，導致代碼執行，造成拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Planning Analytics任意文件上傳漏洞、IBM Security Identity Manager緩沖區溢出漏洞(CNVD-2022-46305)、IBM UrbanCode Deploy權限提升漏洞(CNVD-2022-46304)、IBM Security Guardium信息泄露漏洞(CNVD-2022-46310)、IBM Planning Analytics服務端請求偽造漏洞、IBM System Storage DS8000 Hardware Management Console信息泄露漏洞、IBM Sterling B2B Integrator跨站請求偽造漏洞(CNVD-2022-46459)、IBM Aspera High-Speed Transfer信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46306

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46305

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46304

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46310

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46457

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46460

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46459

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46458

4、Cisco產品安全漏洞

Cisco Embedded Wireless Controller是美國思科(Cisco)公司的一個無線接入器。Cisco SD-WAN vManage Software是一款用于SD-WAN(軟件定義廣域網絡)解決方案的管理軟件。Cisco Virtualized Infrastructure Manager是一個完全自動化的云生命周期管理系統。Cisco Wireless LAN Controller(WLC)是一款無線局域網控制器產品。Cisco SD-WAN vManage Software是一款用于SD-WAN(軟件定義廣域網絡)解決方案的管理軟件。Cisco Catalyst Digital Building Series Switches是一系列數字樓宇交換機。Cisco Iox是一個結合了Cisco IOS和Linux OS用于安全網絡連接以及開發IOT應用的安全開發環境。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致設備重新加載，以受影響用戶的權限級別執行任意操作，訪問機密信息并提升受影響設備的權限等。

CNVD收錄的相關漏洞包括：Cisco Embedded Wireless Controller拒絕服務漏洞、Cisco SD-WAN vManage Software跨站請求偽造漏洞、Cisco Virtualized Infrastructure Manager訪問控制錯誤漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞、Cisco SD-WAN vManage Software信息泄露漏洞(CNVD-2022-46480)、Cisco Catalyst Digital Building Series Switches and Cisco Catalyst Micro Switches拒絕服務漏洞、Cisco Iox路徑遍歷漏洞、Cisco Iox拒絕服務漏洞。其中，“Cisco Embedded Wireless Controller拒絕服務漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46478

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46477

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46475

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46481

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46480

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46479

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961

https://www.cnvd.org.cn/flaw/show/CNVD-2022-46962

5、WordPress Domain Replace plugin跨站腳本漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。本周，WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞導致反射跨站點腳本攻擊。目前，廠商尚未發布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關注廠商主頁，以獲取最新版本。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-46774

更多高危漏洞如表4所示，詳細信息可根據CNVD編號，在CNVD官網進行查詢。參考鏈接：http://www.cnvd.org.cn/flaw/list.htm

表4 部分重要高危漏洞列表

小結：本周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，Google、IBM、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，上傳任意可執行文件，導致代碼執行，拒絕服務，本地權限升級等。另外，WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用漏洞導致反射跨站點腳本攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

來源：CNVD