Anonymous 发表于 2022-8-25 20:43:55

信息安全漏洞周报(2022年第34期)

根据国家信息安全漏洞库(CNNVD)统计,本周(2022年8月15日至2022年8月21日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞370个。

接报漏洞情况

本周CNNVD接报漏洞4507个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个,漏洞平台推送漏洞4330个。

一、公开漏洞情况

   根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞370个,漏洞新增数量有所下降。从厂商分布来看WWBN(全球广播网)新增漏洞最多,有18个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到18.65%。新增漏洞中,超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞370个。



图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况
从厂商分布来看,WWBN(全球广播网)新增漏洞最多,有18个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表



序号

厂商名称

漏洞数量(个)

所占比例


1

WWBN(全球广播网)

18

4.86%


2

Intel

13

3.51%


3

WordPress基金会

13

3.51%


4

谷歌

10

2.70%


5

Esri

10

2.70%



本周国内厂商漏洞15个,友讯公司漏洞数量最多,有4个。国内厂商漏洞整体修复率为60.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到18.65%。漏洞类型统计如表3所示。

表2 漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

缓冲区错误

69

18.65%


2

跨站脚本

36

9.73%


3

SQL注入

24

6.49%


4

代码问题

22

5.95%


5

授权问题

9

2.43%


6

操作系统命令注入

9

2.43%


7

资源管理错误

8

2.16%


8

路径遍历

8

2.16%


9

输入验证错误

6

1.62%


10

代码注入

6

1.62%


11

跨站请求伪造

6

1.62%


12

访问控制错误

5

1.35%


13

注入

5

1.35%


14

命令注入

3

0.81%


15

信任管理问题

3

0.81%


16

数据伪造问题

3

0.81%


17

竞争条件问题

2

0.54%


18

加密问题

2

0.54%


19

日志信息泄露

1

0.27%


20

安全特征问题

1

0.27%


21

环境问题

1

0.27%


22

参数注入

1

0.27%


23

其他

140

37.84%

(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。详细情况如表3所示。

表3 漏洞危害等级与修复情况


序号

危害等级

漏洞数量(个)

修复数量(个)

修复率


1

超危

69

44

63.77%


2

高危

128

107

83.59%


3

中危

170

102

60.00%


4

低危

3

3

100.00%


合计

370

256

69.19%

(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例


序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级


类型


1

代码问题

CNNVD-202208-3066

WordPress基金会

WordPress theme GREYD.SUITE 代码问题漏洞



超危


2

其他

CNNVD-202208-3044

Apache基金会

Apache OpenOffice 安全漏洞



高危


3

其他

CNNVD-202208-3348

苹果

Apple macOS Monterey 安全漏洞



高危


1.WordPress themeGREYD.SUITE 代码问题漏洞(CNNVD-202208-3066)

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPresstheme是WordPress的一款主题。

WordPress themeGREYD.SUITE存在代码问题漏洞,该漏洞源于没有正确验证上传的自定义字体包,也没有执行任何授权或跨站请求伪造检查。攻击者利用该漏洞可上传任意文件,导致远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/c330f92b-1e21-414f-b316-d5e97cb62bd1

2.Apache OpenOffice 安全漏洞(CNNVD-202208-3044)

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。

Apache OpenOffice 4.1.13之前版本存在安全漏洞,该漏洞源于密码加密强度不足,攻击者利用该漏洞可获取用户敏感信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.openoffice.org/security/cves/CVE-2022-37401.html

3.Apple macOS Monterey 安全漏洞(CNNVD-202208-3348)

Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Monterey 12.5.1之前版本存在安全漏洞,该漏洞源于越界写入问题。攻击者可利用该漏洞以管理员权限执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.apple.com/en-us/HT213413

二、漏洞平台推送情况

    本周漏洞平台推送漏洞4330个。


序号

漏洞平台

漏洞总量


1

360漏洞云

3538


2

漏洞盒子

737


3

补天平台

55


推送总计

4330


三、接报漏洞情况

本周CNNVD接报漏洞177个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个。



序号

报送单位

漏洞总量


1

杭州安恒信息技术股份有限公司

54


2

河南听潮盛世信息技术有限公司

21


3

北京云测信息技术有限公司

20


4

广东网安科技有限公司

15


5

西安四叶草信息技术有限公司

12


6

北京华顺信安信息技术有限公司

9


7

天津市兴先道科技有限公司

8


8

三六零数字安全科技集团有限公司

7


9

河南悦海数安科技有限公司

4


10

个人

3


11

河南东方云盾信息技术有限公司

3


12

天翼数智科技(北京)有限公司

3


13

奇安信网神信息技术(北京)股份有限公司

3


14

北京天融信网络安全技术有限公司

2


15

北京威努特技术有限公司

2


16

浙江宇视科技有限公司

2


17

北京微步在线科技有限公司

1


18

北京长亭科技有限公司

1


19

福建银数信息技术有限公司

1


20

福州大学

1


21

墨菲未来科技(北京)有限公司

1


22

深圳融安网络科技有限公司

1


23

苏州棱镜七彩信息科技有限公司

1


24

西安电子科技大学

1


25

西南交通大学

1


报送总计

177


四、接报漏洞通报情况

本周CNNVD接报漏洞通报119份。


序号

报送单位

通报总量


1

天翼安全科技有限公司

15


2

三六零数字安全科技集团有限公司

15


3

杭州迪普科技股份有限公司

14


4

深信服科技股份有限公司

13


5

太极计算机股份有限公司

10


6

北京华云安信息技术有限公司

6


7

北京数字观星科技有限公司

6


8

浙江大华技术股份有限公司

4


9

北京神州绿盟科技有限公司

3


10

杭州用九智汇科技有限公司

3


11

河南悦海数安科技有限公司

3


12

天翼数智科技(北京)有限公司

3


13

北京安华金和科技有限公司

2


14

北京海泰方圆科技股份有限公司

2


15

北京永信至诚科技股份有限公司

2


16

北京知道创宇信息技术股份有限公司

2


17

奇安信网神信息技术(北京)股份有限公司

2


18

长亭科技股份有限公司

2


19

浙江宇视科技有限公司

2


20

北京国舜科技股份有限公司

1


21

北京启明星辰信息安全技术有限公司

1


22

北京天融信网络安全技术有限公司

1


23

杭州安恒信息技术股份有限公司

1


24

华为技术有限公司

1


25

内蒙古思沃科技有限公司

1


26

上海安识网络科技有公司

1


27

上海斗象信息科技有限公司

1


28

亚信科技(成都)有限公司

1


29

长春嘉诚信息技术股份有限公司

1


报送总计

119



页: [1]
查看完整版本: 信息安全漏洞周报(2022年第34期)