（2022年6月）

漏洞態勢

根據國家信息安全漏洞庫(CNNVD)統計，2022年6月份采集安全漏洞共2346個。

本月接報漏洞29870個，其中信息技術產品漏洞(通用型漏洞)339個，網絡信息系統漏洞(事件型漏洞)29531個，其中漏洞平臺推送漏洞28731個。

重大漏洞通報

Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)：成功利用此漏洞的攻擊者，可在目標主機執行惡意代碼。Windows 11、Windows 10等多個系統版本均受此漏洞影響。目前，微軟官方發布了臨時修補措施緩解漏洞帶來的危害，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

微軟官方發布公告更新了多款Microsoft產品資源管理錯誤漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多個漏洞：成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

漏洞態勢

一、公開漏洞情況

根據國家信息安全漏洞庫(CNNVD)統計，2022年6月份新增安全漏洞共2346個，從廠商分布來看，WordPress基金會公司產品的漏洞數量最多，共發布200個;從漏洞類型來看，跨站腳本類的漏洞占比最大，達到13.17%。本月新增漏洞中，超危漏洞397個、高危漏洞865個、中危漏洞1027個、低危漏洞57個，相應修復率分別為66.50%、64.97%、79.65%以及78.95%。合計1689個漏洞已有修復補丁發布，本月整體修復率71.99%。

截至2022年06月30日，CNNVD采集漏洞總量已達187130個。

1.1 漏洞增長概況

2022年6月新增安全漏洞2346個，與上月(2044個)相比增加了14.77%。根據近6個月來漏洞新增數量統計圖，平均每月漏洞數量達到2078個。

圖1 2022年1月至2022年6月漏洞新增數量統計圖

1.2 漏洞分布情況

1.2.1 漏洞廠商分布

2022年6月廠商漏洞數量分布情況如表1所示，WordPress基金會公司漏洞達到200個，占本月漏洞總量的8.53%。

表1 2022年6月排名前十廠商新增安全漏洞統計表

1.2.2 漏洞產品分布

2022年6月主流操作系統的漏洞統計情況如表2所示。本月Windows系列操作系統漏洞數量共40個，Android漏洞數量最多，共83個，占主流操作系統漏洞總量的21.34%，排名第一。

表2 2022年6月主流操作系統漏洞數量統計

1.2.3 漏洞類型分布

2022年6月份發布的漏洞類型分布如表3所示，其中跨站腳本類漏洞所占比例最大，約為13.17%。

表3 2022年6月漏洞類型統計表

1.2.4 漏洞危害等級分布

根據漏洞的影響范圍、利用方式、攻擊后果等情況，從高到低可將其分為四個危害等級，即超危、高危、中危和低危級別。2022年6月漏洞危害等級分布如圖2所示，其中超危漏洞397條，占本月漏洞總數的16.92%。

圖2 2022年6月漏洞危害等級分布

1.3 漏洞修復情況

1.3.1 整體修復情況

2022年6月漏洞修復情況按危害等級進行統計見圖3。其中中危漏洞修復率最高，達到79.65%，高危漏洞修復率最低，比例為64.97%?？傮w來看，本月整體修復率，由上月的78.33%下降至本月的71.99%。

圖3 2022年6月漏洞修復數量統計

1.3.2 廠商修復情況

2022年6月漏洞修復情況按漏洞數量前十廠商進行統計，其中WordPress基金會、Google、Microsoft等十個廠商共596條漏洞，占本月漏洞總數的25.40%，漏洞修復率為89.93%，詳細情況見表4。多數知名廠商對產品安全高度重視，產品漏洞修復比較及時，其中Adobe、Samsung、Siemens、Qualcomm等公司本月漏洞修復率均為100%，共536條漏洞已全部修復。

表4 2022年6月廠商修復情況統計表

1.4 重要漏洞實例

1.4.1 超危漏洞實例

2022年6月超危漏洞共397個，其中重要漏洞實例如表5所示。

表5 2022年6月超危漏洞實例

1. IBM InfoSphere Information Server SQL注入漏洞(CNNVD-202206-597)

IBM InfoSphere Information Server是美國IBM公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。

IBM InfoSphere Information Server 11.7 版本存在SQL注入漏洞，該漏洞源于易受 SQL 注入攻擊。遠程攻擊者可以發送特制的 SQL 語句，從而允許攻擊者查看、添加、修改或刪除后端數據庫中的信息。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.ibm.com/support/pages/node/6592573

2. Laravel 代碼問題漏洞(CNNVD-202206-671)

Laravel是Laravel 團隊(Laravel)的一個Web 應用程序框架。

Laravel 9.1.8 版本存在安全漏洞，該漏洞源于容易造成遠程代碼執行。

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://laravel.com/

3. Siemens SIMATIC WinCC OA 授權問題漏洞(CNNVD-202206-2079)

Siemens SIMATIC WinCC OA是德國西門子(Siemens)公司的一個功能強大、靈活多樣的 SCADA 操作系統。用于控制和監視工業應用。

Siemens SIMATIC WinCC OA V3.16、V3.17、V3.18版本存在安全漏洞，該漏洞源于服務器端身份驗證 (SSA) 和 Kerberos 身份驗證均未啟用時，應用程序僅使用客戶端身份驗證。攻擊者利用該漏洞可以冒充其他用戶或在未經身份驗證的情況下利用客戶端-服務器協議。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf

4. TRENDnet TEW-831DR 操作系統命令注入漏洞(CNNVD-202206-1664)

TRENDnet TEW-831DR是美國趨勢網絡(TRENDnet)公司的一款路由器。

TRENDnet TEW-831DR 1.0 601.130.1.1356 版本存在安全漏洞，該漏洞源于 Web 界面中存在系統命令注入漏洞，允許具有有效憑據的攻擊者執行任意 shell 命令。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://research.nccgroup.com/2022/06/10/technical-advisory-multiple-vulnerabilities-in-trendnet-tew-831dr-wifi-router-cve-2022-30325-cve-2022-30326-cve-2022-30327-cve-2022-30328-cve-2022-30329/

5. Google Android 緩沖區錯誤漏洞(CNNVD-202206-590)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。

Google Android 10、11、12、12L及之前版本中的Media Framework存在緩沖區錯誤漏洞，攻擊者利用該漏洞可以遠程執行代碼。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://source.android.com/security/bulletin/2022-06-01

6. Siemens SINEMA Remote Connect Server 訪問控制錯誤漏洞(CNNVD-202206-1253)

Siemens SINEMA Remote Connect Server是德國西門子(Siemens)公司的一套遠程網絡管理平臺。該平臺主要用于遠程訪問、維護、控制和診斷底層網絡。

Siemens SINEMA Remote Connect Server 3.1 之前版本存在安全漏洞，該漏洞源于用于更改用戶角色和權限的資源缺少身份驗證驗證。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdf

7. Google Android 資源管理錯誤漏洞(CNNVD-202206-587)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。

Google Android 10、11、12、12L及之前版本存在資源管理錯誤漏洞，該漏洞源于系統組件中的存在嚴重安全漏洞，攻擊者利用該漏洞可以提升本地權限。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://source.android.com/security/bulletin/2022-06-01

8. Broadcom CA Automic Automation 輸入驗證錯誤漏洞(CNNVD-202206-1653)

Broadcom CA Automic Automation是美國博通(Broadcom)公司的一種自動化產品。提供服務編排和自動化平臺，以自動化復雜的應用程序、平臺和技術環境。

Broadcom CA Automic Automation 12.2 版本和 12.3 版本存在安全漏洞，該漏洞源于存在輸入驗證不足問題。遠程攻擊者通過該漏洞可以執行任意代碼。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20629

1.4.2 高危漏洞實例

2022年6月高危漏洞共865個，其中重要漏洞實例如表6所示。

表6 2022年6月高危漏洞實例

1. WordPress plugin amtyThumb SQL注入漏洞(CNNVD-202206-796)

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。

WordPress plugin amtyThumb 4.2.0及其之前版本存在SQL注入漏洞，該漏洞源于應用不會對短代碼使用的參數進行清理轉義。經過身份驗證的用戶可以利用該漏洞進行SQL注入攻擊。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://wpscan.com/vulnerability/359d145b-c365-4e7c-a12e-c26b7b8617ce

2. McAfee Consumer Product Removal Tool 代碼問題漏洞(CNNVD-202206-2043)

McAfee Consumer Product Removal Tool是美國McAfee公司的旨在完全刪除 McAfee Security 產品以重新安裝或安裝不同的防病毒軟件。

McAfee Consumer Product Removal Tool 10.4.128 之前的版本存在代碼問題漏洞，該漏洞源于之前的一個不受控制的搜索路徑漏洞可能允許本地攻擊者使用特定文件名執行旁加載攻擊，這可能導致用戶獲得提升的權限并能夠執行任意代碼。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://service.mcafee.com/?articleId=TS103318&page=shell&shell=article-view

3. Schneider Electric Wiser Smart 授權問題漏洞(CNNVD-202206-419)

Schneider Electric Wiser Smart是法國施耐德電氣(Schneider Electric)公司的一個完整的互聯家庭解決方案?？蔀榧彝硎孢m、便利和安全。

Schneider Electric Wiser Smart 存在授權問題漏洞，該漏洞源于不正確的身份驗證。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.se.com/ww/en/download/document/SEVD-2022-130-03/

4. Tenable Network Security Nessus操作系統命令注入漏洞(CNNVD-202206-1599)

Tenable Network Security Nessus是美國Tenable Network Security公司的一款開源的系統漏洞掃描器。

Tenable Network Security Nessus 10.1.3 版本及之前版本存在操作系統命令注入漏洞，經過身份驗證的攻擊者利用該漏洞可以創建一個審計文件，繞過PowerShell cmdlet 檢查并以管理員權限執行命令。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.tenable.com/downloads/nessus-agents

5. Schneider Electric IGSS Data Server 緩沖區錯誤漏洞(CNNVD-202206-2004)

Schneider Electric IGSS Data Server是法國施耐德電氣(Schneider Electric)公司的一個交互式圖形 Scada 系統的數據服務器。

Schneider Electric IGSS Data Server 15.0.0.22140 之前版本存在緩沖區錯誤漏洞，該漏洞源于應用存在邊界錯誤。遠程攻擊者可以利用該漏洞發送特制的日志數據請求消息、觸發內存損壞并在目標系統上執行任意代碼。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

http://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-165-01_IGSS_Security_Notification.pdf

6. Emerson DeltaV Distributed Control System訪問控制錯誤漏洞(CNNVD-202206-2922)

Emerson DeltaV Distributed Control System是美國艾默生電氣(Emerson)公司的一套自動化分布式控制系統。該系統包括網絡安全管理、報警管理、批量控制和變更管理等功能。

Emerson DeltaV Distributed Control System存在訪問控制錯誤漏洞，該漏洞源于固件升級、即插即用、Hawk 服務、管理、SIS 通信和組播在內的幾個協議沒有認證。

目前廠商已發布升級補丁以修復漏洞，詳情請關注廠商主頁：

https://guardian.emerson.com/Login/

7. Google Android 資源管理錯誤漏洞(CNNVD-202206-509)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統。

Google Android 存在安全漏洞，該漏洞源于在 WIFI Firmware 中，可能會因釋放后重用而導致內存損壞。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://source.android.com/security/bulletin/2022-06-01

8. Schneider Electric PowerLogic ION Setup 輸入驗證錯誤漏洞(CNNVD-202206-432)

Schneider Electric PowerLogic ION Setup是法國施耐德電氣(Schneider Electric)公司的一款免費、用戶友好的配置工具。為設置和驗證PowerLogic 儀表和其他設備的設置提供了一個直觀的環境。

Schneider Electric存在輸入驗證錯誤漏洞。攻擊者利用該漏洞導致潛在的遠程代碼執行。

目前廠商已發布升級補丁以修復漏洞，補丁獲取鏈接：

https://www.se.com/ww/en/download/document/SEVD-2022-130-01/

二、漏洞平臺推送情況

2022年6月漏洞平臺推送漏洞28731個。

表7 2022年6月漏洞平臺推送情況表

三、接報漏洞情況

2022年6月接報漏洞1139個，其中信息技術產品漏洞(通用型漏洞)339個，網絡信息系統漏洞(事件型漏洞)800個。

表8 2022年6月接報漏洞情況表（略）

四、重大漏洞通報

4.1 Microsoft Windows Support Diagnostic Tool 安全漏洞的通報

近日，國家信息安全漏洞庫(CNNVD)收到關于Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)情況的報送。成功利用此漏洞的攻擊者，可在目標主機執行惡意代碼。Windows 11、Windows 10、Windows 8、Windows 7、Windows Server 2022、Windows Server 2016、Windows Server 2012、Windows Server 2008、Windows Server version 20H2、Windows Server 2022等多個系統版本均受此漏洞影響。目前，微軟官方發布了臨時修補措施緩解漏洞帶來的危害，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。

. 漏洞介紹

Microsoft Windows Support Diagnostic Tool是美國微軟公司Windows操作系統內的一個程序，用于排除故障并收集診斷數據以供技術人員分析和解決問題。該漏洞源于Microsoft Windows Support Diagnostic Tool中的URL協議存在邏輯問題，攻擊者可誘使目標主機的應用(如word)通過Microsoft Windows Support Diagnostic Tool中的URL協議下載并打開特制的文件，進而在目標主機執行惡意代碼。

. 危害影響

成功利用此漏洞的攻擊者，可在目標主機執行惡意代碼。以下操作系統版本受漏洞影響：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016(Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

. 修復建議

目前，微軟官方發布了臨時修補措施緩解漏洞帶來的危害，請用戶及時確認是否受到漏洞影響，盡快采取修補措施。官方鏈接如下：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

4.2 微軟多個安全漏洞的通報

近日，微軟官方發布了多個安全漏洞的公告，共61個漏洞。包括多款Microsoft產品資源管理錯誤漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標系統上執行任意代碼、獲取用戶數據，提升權限等。微軟多個產品和系統受漏洞影響。目前，微軟官方已經發布了漏洞修復補丁，建議用戶及時確認是否受到漏洞影響，盡快采取修補措施。

. 漏洞介紹

2022年6月14日，微軟發布了2022年6月份安全更新，共61個漏洞的補丁程序，CNNVD對這些漏洞進行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Azure Real Time Operating System、Microsoft Windows Defender、Microsoft Windows ALPC、Microsoft Windows File History Service、Microsoft Windows Local Security Authority Subsystem Service等。CNNVD對其危害等級進行了評價，其中高危漏洞29個，中危漏洞32個。微軟多個產品和系統版本受漏洞影響，具體影響范圍可訪問

https://portal.msrc.microsoft.com/zh-cn/security-guidance查詢。

. 漏洞詳情

此次更新共包括55個新增漏洞的補丁程序，其中高危漏洞29個，中危漏洞26個。

此次更新共包括6個更新漏洞的補丁程序，其中中危漏洞6個。

. 修復建議

目前，微軟官方已經發布補丁修復了上述漏洞，建議用戶及時確認漏洞影響，盡快采取修補措施。微軟官方補丁下載地址：https://msrc.microsoft.com/update-guide/en-us

來源：CNNVD安全動態