(2022年第23期)

根据国家信息安全漏洞库(CNNVD)统计，本周(2022年5月30日至2022年6月5日)安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞450个。

接报漏洞情况

本周CNNVD接报漏洞2656个，其中信息技术产品漏洞(通用型漏洞)39个，网络信息系统漏洞(事件型漏洞)158个，漏洞平台推送漏洞2459个。

重大漏洞通报

Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)：成功利用此漏洞的攻击者，可在目标主机执行恶意代码。Windows 11、Windows 10、Windows 8、Windows 7、Windows Server 2022、Windows Server 2016、Windows Server 2012、Windows Server 2008等多个系统版本均受此漏洞影响。目前，微软官方发布了临时修补措施缓解漏洞带来的危害，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞450个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有30个;从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到6.67%。新增漏洞中，超危漏洞44个，高危漏洞97个，中危漏洞259个，低危漏洞50个。相应修复率分别为54.55%、75.26%、72.20%和28.00%。根据补丁信息统计，合计298个漏洞已有修复补丁发布，整体修复率为66.22%。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞450个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有30个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞36个，华为公司漏洞数量最多，有14个。国内厂商漏洞整体修复率为50.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到6.67%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞44个，高危漏洞97个，中危漏洞259个，低危漏洞50个。相应修复率分别为54.55%、75.26%、72.20%和28.00%。根据补丁信息统计，合计298个漏洞已有修复补丁发布，整体修复率为66.22%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1.Dell EMC PowerStore 安全漏洞(CNNVD-202206-412)

Dell EMC PowerStore是美国戴尔(Dell)公司的一款存储设备。

Dell PowerStore 2.0.0.x版本、2.0.1.x版本、2.1.0.x版本存在安全漏洞。远程攻击者利用该漏洞可导致信息泄露和任意代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.dell.com/support/kbdoc/000196367

2. WordPress plugin Content Mask 安全漏洞(CNNVD-202205-4281)

WordPress和WordPress plugin都是WordPress基金会的产品。 WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Content Mask 1.8.4.1之前版本存在安全漏洞，该漏洞源于程序没有对AJAX(发送请求和接收响应)操作进行授权，且未对跨站请求伪造进行检查导致。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/3c9969e5-ca8e-4e5d-a482-c6b5c4257820

3. Mozilla Firefox 缓冲区错误漏洞(CNNVD-202205-4286)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

Mozilla Firefox 100.0版本至100.0.2版本存在缓冲区错误漏洞，该漏洞源于处理 HTML 内容时出现边界错误。远程攻击者利用该漏洞可在目标系统上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.mozilla.org/en-US/security/advisories/mfsa2022-20/

二、漏洞平台推送情况

本周漏洞平台推送漏洞2459个。

三、接报漏洞情况

本周CNNVD接报漏洞197个，其中信息技术产品漏洞(通用型漏洞)39个，网络信息系统漏洞(事件型漏洞)158个。

表5 本周漏洞报送情况（略）

四、接报漏洞通报情况

本周CNNVD接报漏洞通报108份。（详情略）

五、重大漏洞通报

CNNVD 关于Microsoft Windows Support Diagnostic Tool 安全漏洞的通报

近日，国家信息安全漏洞库(CNNVD)收到关于Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)情况的报送。成功利用此漏洞的攻击者，可在目标主机执行恶意代码。Windows 11、Windows 10、Windows 8、Windows 7、Windows Server 2022、Windows Server 2016、Windows Server 2012、Windows Server 2008、Windows Server version 20H2、Windows Server 2022等多个系统版本均受此漏洞影响。目前，微软官方发布了临时修补措施缓解漏洞带来的危害，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

.漏洞介绍

Microsoft Windows Support Diagnostic Tool是美国微软公司Windows操作系统内的一个程序，用于排除故障并收集诊断数据以供技术人员分析和解决问题。该漏洞源于Microsoft Windows Support Diagnostic Tool中的URL协议存在逻辑问题，攻击者可诱使目标主机的应用(如word)通过Microsoft Windows Support Diagnostic Tool中的URL协议下载并打开特制的文件，进而在目标主机执行恶意代码。

.危害影响

成功利用此漏洞的攻击者，可在目标主机执行恶意代码。以下操作系统版本受漏洞影响：

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

.修复建议

目前，微软官方发布了临时修补措施缓解漏洞带来的危害，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

来源：CNNVD