信息安全漏洞周报(2022年第34期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2022年8月15日至2022年8月21日)安全漏洞情况如下:公开漏洞情况
本周CNNVD采集安全漏洞370个。
接报漏洞情况
本周CNNVD接报漏洞4507个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个,漏洞平台推送漏洞4330个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞370个,漏洞新增数量有所下降。从厂商分布来看WWBN(全球广播网)新增漏洞最多,有18个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到18.65%。新增漏洞中,超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞370个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WWBN(全球广播网)新增漏洞最多,有18个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WWBN(全球广播网)
18
4.86%
2
Intel
13
3.51%
3
WordPress基金会
13
3.51%
4
谷歌
10
2.70%
5
Esri
10
2.70%
本周国内厂商漏洞15个,友讯公司漏洞数量最多,有4个。国内厂商漏洞整体修复率为60.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到18.65%。漏洞类型统计如表3所示。
表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
缓冲区错误
69
18.65%
2
跨站脚本
36
9.73%
3
SQL注入
24
6.49%
4
代码问题
22
5.95%
5
授权问题
9
2.43%
6
操作系统命令注入
9
2.43%
7
资源管理错误
8
2.16%
8
路径遍历
8
2.16%
9
输入验证错误
6
1.62%
10
代码注入
6
1.62%
11
跨站请求伪造
6
1.62%
12
访问控制错误
5
1.35%
13
注入
5
1.35%
14
命令注入
3
0.81%
15
信任管理问题
3
0.81%
16
数据伪造问题
3
0.81%
17
竞争条件问题
2
0.54%
18
加密问题
2
0.54%
19
日志信息泄露
1
0.27%
20
安全特征问题
1
0.27%
21
环境问题
1
0.27%
22
参数注入
1
0.27%
23
其他
140
37.84%
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞69个,高危漏洞128个,中危漏洞170个,低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计,合计256个漏洞已有修复补丁发布,整体修复率为69.19%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
69
44
63.77%
2
高危
128
107
83.59%
3
中危
170
102
60.00%
4
低危
3
3
100.00%
合计
370
256
69.19%
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号
漏洞
漏洞编号
厂商
漏洞实例
是否修复
危害等级
类型
1
代码问题
CNNVD-202208-3066
WordPress基金会
WordPress theme GREYD.SUITE 代码问题漏洞
是
超危
2
其他
CNNVD-202208-3044
Apache基金会
Apache OpenOffice 安全漏洞
是
高危
3
其他
CNNVD-202208-3348
苹果
Apple macOS Monterey 安全漏洞
是
高危
1.WordPress themeGREYD.SUITE 代码问题漏洞(CNNVD-202208-3066)
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPresstheme是WordPress的一款主题。
WordPress themeGREYD.SUITE存在代码问题漏洞,该漏洞源于没有正确验证上传的自定义字体包,也没有执行任何授权或跨站请求伪造检查。攻击者利用该漏洞可上传任意文件,导致远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/c330f92b-1e21-414f-b316-d5e97cb62bd1
2.Apache OpenOffice 安全漏洞(CNNVD-202208-3044)
Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。
Apache OpenOffice 4.1.13之前版本存在安全漏洞,该漏洞源于密码加密强度不足,攻击者利用该漏洞可获取用户敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.openoffice.org/security/cves/CVE-2022-37401.html
3.Apple macOS Monterey 安全漏洞(CNNVD-202208-3348)
Apple macOS Monterey是美国苹果(Apple)公司的用于麦金塔桌面操作系统macOS的第18个主要版本。
Apple macOS Monterey 12.5.1之前版本存在安全漏洞,该漏洞源于越界写入问题。攻击者可利用该漏洞以管理员权限执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.apple.com/en-us/HT213413
二、漏洞平台推送情况
本周漏洞平台推送漏洞4330个。
序号
漏洞平台
漏洞总量
1
360漏洞云
3538
2
漏洞盒子
737
3
补天平台
55
推送总计
4330
三、接报漏洞情况
本周CNNVD接报漏洞177个,其中信息技术产品漏洞(通用型漏洞)116个,网络信息系统漏洞(事件型漏洞)61个。
序号
报送单位
漏洞总量
1
杭州安恒信息技术股份有限公司
54
2
河南听潮盛世信息技术有限公司
21
3
北京云测信息技术有限公司
20
4
广东网安科技有限公司
15
5
西安四叶草信息技术有限公司
12
6
北京华顺信安信息技术有限公司
9
7
天津市兴先道科技有限公司
8
8
三六零数字安全科技集团有限公司
7
9
河南悦海数安科技有限公司
4
10
个人
3
11
河南东方云盾信息技术有限公司
3
12
天翼数智科技(北京)有限公司
3
13
奇安信网神信息技术(北京)股份有限公司
3
14
北京天融信网络安全技术有限公司
2
15
北京威努特技术有限公司
2
16
浙江宇视科技有限公司
2
17
北京微步在线科技有限公司
1
18
北京长亭科技有限公司
1
19
福建银数信息技术有限公司
1
20
福州大学
1
21
墨菲未来科技(北京)有限公司
1
22
深圳融安网络科技有限公司
1
23
苏州棱镜七彩信息科技有限公司
1
24
西安电子科技大学
1
25
西南交通大学
1
报送总计
177
四、接报漏洞通报情况
本周CNNVD接报漏洞通报119份。
序号
报送单位
通报总量
1
天翼安全科技有限公司
15
2
三六零数字安全科技集团有限公司
15
3
杭州迪普科技股份有限公司
14
4
深信服科技股份有限公司
13
5
太极计算机股份有限公司
10
6
北京华云安信息技术有限公司
6
7
北京数字观星科技有限公司
6
8
浙江大华技术股份有限公司
4
9
北京神州绿盟科技有限公司
3
10
杭州用九智汇科技有限公司
3
11
河南悦海数安科技有限公司
3
12
天翼数智科技(北京)有限公司
3
13
北京安华金和科技有限公司
2
14
北京海泰方圆科技股份有限公司
2
15
北京永信至诚科技股份有限公司
2
16
北京知道创宇信息技术股份有限公司
2
17
奇安信网神信息技术(北京)股份有限公司
2
18
长亭科技股份有限公司
2
19
浙江宇视科技有限公司
2
20
北京国舜科技股份有限公司
1
21
北京启明星辰信息安全技术有限公司
1
22
北京天融信网络安全技术有限公司
1
23
杭州安恒信息技术股份有限公司
1
24
华为技术有限公司
1
25
内蒙古思沃科技有限公司
1
26
上海安识网络科技有公司
1
27
上海斗象信息科技有限公司
1
28
亚信科技(成都)有限公司
1
29
长春嘉诚信息技术股份有限公司
1
报送总计
119
页:
[1]