0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 2022年CNNVD信息安全漏洞月报

2022年CNNVD信息安全漏洞月报

(2022年6月)


漏洞态势


根据国家信息安全漏洞库(CNNVD)统计,2022年6月份采集安全漏洞共2346个。


本月接报漏洞29870个,其中信息技术产品漏洞(通用型漏洞)339个,网络信息系统漏洞(事件型漏洞)29531个,其中漏洞平台推送漏洞28731个。


重大漏洞通报


Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190):成功利用此漏洞的攻击者,可在目标主机执行恶意代码。Windows 11、Windows 10等多个系统版本均受此漏洞影响。目前,微软官方发布了临时修补措施缓解漏洞带来的危害,请用户及时确认是否受到漏洞影响,尽快采取修补措施。


微软官方发布公告更新了多款Microsoft产品资源管理错误漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多个漏洞:成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。


漏洞态势


一、公开漏洞情况


根据国家信息安全漏洞库(CNNVD)统计,2022年6月份新增安全漏洞共2346个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布200个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到13.17%。本月新增漏洞中,超危漏洞397个、高危漏洞865个、中危漏洞1027个、低危漏洞57个,相应修复率分别为66.50%、64.97%、79.65%以及78.95%。合计1689个漏洞已有修复补丁发布,本月整体修复率71.99%。


截至2022年06月30日,CNNVD采集漏洞总量已达187130个。


1.1 漏洞增长概况


2022年6月新增安全漏洞2346个,与上月(2044个)相比增加了14.77%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2078个。

金瀚信安:信息安全漏洞月报(2022年6月)图1

图1 2022年1月至2022年6月漏洞新增数量统计图


1.2 漏洞分布情况


1.2.1 漏洞厂商分布


2022年6月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到200个,占本月漏洞总量的8.53%。


表1 2022年6月排名前十厂商新增安全漏洞统计表

金瀚信安:信息安全漏洞月报(2022年6月)表1


1.2.2 漏洞产品分布


2022年6月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共40个,Android漏洞数量最多,共83个,占主流操作系统漏洞总量的21.34%,排名第一。


表2 2022年6月主流操作系统漏洞数量统计

金瀚信安:信息安全漏洞月报(2022年6月)表2


1.2.3 漏洞类型分布


2022年6月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为13.17%。


表3 2022年6月漏洞类型统计表

金瀚信安:信息安全漏洞月报(2022年6月)表3


1.2.4 漏洞危害等级分布


根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年6月漏洞危害等级分布如图2所示,其中超危漏洞397条,占本月漏洞总数的16.92%。

金瀚信安:信息安全漏洞月报(2022年6月)图2


图2 2022年6月漏洞危害等级分布


1.3 漏洞修复情况


1.3.1 整体修复情况


2022年6月漏洞修复情况按危害等级进行统计见图3。其中中危漏洞修复率最高,达到79.65%,高危漏洞修复率最低,比例为64.97%。总体来看,本月整体修复率,由上月的78.33%下降至本月的71.99%。

金瀚信安:信息安全漏洞月报(2022年6月)图3


图3 2022年6月漏洞修复数量统计


1.3.2 厂商修复情况


2022年6月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Google、Microsoft等十个厂商共596条漏洞,占本月漏洞总数的25.40%,漏洞修复率为89.93%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Adobe、Samsung、Siemens、Qualcomm等公司本月漏洞修复率均为100%,共536条漏洞已全部修复。


表4 2022年6月厂商修复情况统计表

金瀚信安:信息安全漏洞月报(2022年6月)表4


1.4 重要漏洞实例


1.4.1 超危漏洞实例


2022年6月超危漏洞共397个,其中重要漏洞实例如表5所示。


表5 2022年6月超危漏洞实例

金瀚信安:信息安全漏洞月报(2022年6月)表5.1

金瀚信安:信息安全漏洞月报(2022年6月)表5.2

金瀚信安:信息安全漏洞月报(2022年6月)表5.3

金瀚信安:信息安全漏洞月报(2022年6月)表5.4

金瀚信安:信息安全漏洞月报(2022年6月)表5.5

金瀚信安:信息安全漏洞月报(2022年6月)表5.6

金瀚信安:信息安全漏洞月报(2022年6月)表5.7


1. IBM InfoSphere Information Server SQL注入漏洞(CNNVD-202206-597)

IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。

IBM InfoSphere Information Server 11.7 版本存在SQL注入漏洞,该漏洞源于易受 SQL 注入攻击。远程攻击者可以发送特制的 SQL 语句,从而允许攻击者查看、添加、修改或删除后端数据库中的信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.ibm.com/support/pages/node/6592573


2. Laravel 代码问题漏洞(CNNVD-202206-671)

Laravel是Laravel 团队(Laravel)的一个Web 应用程序框架。

Laravel 9.1.8 版本存在安全漏洞,该漏洞源于容易造成远程代码执行。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://laravel.com/


3. Siemens SIMATIC WinCC OA 授权问题漏洞(CNNVD-202206-2079)

Siemens SIMATIC WinCC OA是德国西门子(Siemens)公司的一个功能强大、灵活多样的 SCADA 操作系统。用于控制和监视工业应用。

Siemens SIMATIC WinCC OA V3.16、V3.17、V3.18版本存在安全漏洞,该漏洞源于服务器端身份验证 (SSA) 和 Kerberos 身份验证均未启用时,应用程序仅使用客户端身份验证。攻击者利用该漏洞可以冒充其他用户或在未经身份验证的情况下利用客户端-服务器协议。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf


4. TRENDnet TEW-831DR 操作系统命令注入漏洞(CNNVD-202206-1664)

TRENDnet TEW-831DR是美国趋势网络(TRENDnet)公司的一款路由器。

TRENDnet TEW-831DR 1.0 601.130.1.1356 版本存在安全漏洞,该漏洞源于 Web 界面中存在系统命令注入漏洞,允许具有有效凭据的攻击者执行任意 shell 命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://research.nccgroup.com/2022/06/10/technical-advisory-multiple-vulnerabilities-in-trendnet-tew-831dr-wifi-router-cve-2022-30325-cve-2022-30326-cve-2022-30327-cve-2022-30328-cve-2022-30329/


5. Google Android 缓冲区错误漏洞(CNNVD-202206-590)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android 10、11、12、12L及之前版本中的Media Framework存在缓冲区错误漏洞,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://source.android.com/security/bulletin/2022-06-01


6. Siemens SINEMA Remote Connect Server 访问控制错误漏洞(CNNVD-202206-1253)

Siemens SINEMA Remote Connect Server是德国西门子(Siemens)公司的一套远程网络管理平台。该平台主要用于远程访问、维护、控制和诊断底层网络。

Siemens SINEMA Remote Connect Server 3.1 之前版本存在安全漏洞,该漏洞源于用于更改用户角色和权限的资源缺少身份验证验证。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://cert-portal.siemens.com/productcert/pdf/ssa-484086.pdf


7. Google Android 资源管理错误漏洞(CNNVD-202206-587)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android 10、11、12、12L及之前版本存在资源管理错误漏洞,该漏洞源于系统组件中的存在严重安全漏洞,攻击者利用该漏洞可以提升本地权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://source.android.com/security/bulletin/2022-06-01


8. Broadcom CA Automic Automation 输入验证错误漏洞(CNNVD-202206-1653)

Broadcom CA Automic Automation是美国博通(Broadcom)公司的一种自动化产品。提供服务编排和自动化平台,以自动化复杂的应用程序、平台和技术环境。

Broadcom CA Automic Automation 12.2 版本和 12.3 版本存在安全漏洞,该漏洞源于存在输入验证不足问题。远程攻击者通过该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/20629


1.4.2 高危漏洞实例


2022年6月高危漏洞共865个,其中重要漏洞实例如表6所示。


表6 2022年6月高危漏洞实例

金瀚信安:信息安全漏洞月报(2022年6月)表6.1

金瀚信安:信息安全漏洞月报(2022年6月)表6.2

金瀚信安:信息安全漏洞月报(2022年6月)表6.3

金瀚信安:信息安全漏洞月报(2022年6月)表6.4

金瀚信安:信息安全漏洞月报(2022年6月)表6.5

金瀚信安:信息安全漏洞月报(2022年6月)表6.6

金瀚信安:信息安全漏洞月报(2022年6月)表6.7

金瀚信安:信息安全漏洞月报(2022年6月)表6.8

金瀚信安:信息安全漏洞月报(2022年6月)表6.9

金瀚信安:信息安全漏洞月报(2022年6月)表6.10

金瀚信安:信息安全漏洞月报(2022年6月)表6.11

金瀚信安:信息安全漏洞月报(2022年6月)表6.12


1. WordPress plugin amtyThumb SQL注入漏洞(CNNVD-202206-796)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin amtyThumb 4.2.0及其之前版本存在SQL注入漏洞,该漏洞源于应用不会对短代码使用的参数进行清理转义。经过身份验证的用户可以利用该漏洞进行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/359d145b-c365-4e7c-a12e-c26b7b8617ce


2. McAfee Consumer Product Removal Tool 代码问题漏洞(CNNVD-202206-2043)

McAfee Consumer Product Removal Tool是美国McAfee公司的旨在完全删除 McAfee Security 产品以重新安装或安装不同的防病毒软件。

McAfee Consumer Product Removal Tool 10.4.128 之前的版本存在代码问题漏洞,该漏洞源于之前的一个不受控制的搜索路径漏洞可能允许本地攻击者使用特定文件名执行旁加载攻击,这可能导致用户获得提升的权限并能够执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://service.mcafee.com/?articleId=TS103318&page=shell&shell=article-view


3. Schneider Electric Wiser Smart 授权问题漏洞(CNNVD-202206-419)

Schneider Electric Wiser Smart是法国施耐德电气(Schneider Electric)公司的一个完整的互联家庭解决方案。可为家庭带来舒适、便利和安全。

Schneider Electric Wiser Smart 存在授权问题漏洞,该漏洞源于不正确的身份验证。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.se.com/ww/en/download/document/SEVD-2022-130-03/


4. Tenable Network Security Nessus操作系统命令注入漏洞(CNNVD-202206-1599)

Tenable Network Security Nessus是美国Tenable Network Security公司的一款开源的系统漏洞扫描器。

Tenable Network Security Nessus 10.1.3 版本及之前版本存在操作系统命令注入漏洞,经过身份验证的攻击者利用该漏洞可以创建一个审计文件,绕过PowerShell cmdlet 检查并以管理员权限执行命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.tenable.com/downloads/nessus-agents


5. Schneider Electric IGSS Data Server 缓冲区错误漏洞(CNNVD-202206-2004)

Schneider Electric IGSS Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形 Scada 系统的数据服务器。

Schneider Electric IGSS Data Server 15.0.0.22140 之前版本存在缓冲区错误漏洞,该漏洞源于应用存在边界错误。远程攻击者可以利用该漏洞发送特制的日志数据请求消息、触发内存损坏并在目标系统上执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

http://download.schneider-electric.com/files?p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2022-165-01_IGSS_Security_Notification.pdf


6. Emerson DeltaV Distributed Control System访问控制错误漏洞(CNNVD-202206-2922)

Emerson DeltaV Distributed Control System是美国艾默生电气(Emerson)公司的一套自动化分布式控制系统。该系统包括网络安全管理、报警管理、批量控制和变更管理等功能。

Emerson DeltaV Distributed Control System存在访问控制错误漏洞,该漏洞源于固件升级、即插即用、Hawk 服务、管理、SIS 通信和组播在内的几个协议没有认证。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://guardian.emerson.com/Login/


7. Google Android 资源管理错误漏洞(CNNVD-202206-509)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android 存在安全漏洞,该漏洞源于在 WIFI Firmware 中,可能会因释放后重用而导致内存损坏。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://source.android.com/security/bulletin/2022-06-01


8. Schneider Electric PowerLogic ION Setup 输入验证错误漏洞(CNNVD-202206-432)

Schneider Electric PowerLogic ION Setup是法国施耐德电气(Schneider Electric)公司的一款免费、用户友好的配置工具。为设置和验证PowerLogic 仪表和其他设备的设置提供了一个直观的环境。

Schneider Electric存在输入验证错误漏洞。攻击者利用该漏洞导致潜在的远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.se.com/ww/en/download/document/SEVD-2022-130-01/


二、漏洞平台推送情况


2022年6月漏洞平台推送漏洞28731个。


表7 2022年6月漏洞平台推送情况表

金瀚信安:信息安全漏洞月报(2022年6月)表7


三、接报漏洞情况


2022年6月接报漏洞1139个,其中信息技术产品漏洞(通用型漏洞)339个,网络信息系统漏洞(事件型漏洞)800个。


表8 2022年6月接报漏洞情况表(略)


四、重大漏洞通报


4.1 Microsoft Windows Support Diagnostic Tool 安全漏洞的通报


近日,国家信息安全漏洞库(CNNVD)收到关于Microsoft Windows Support Diagnostic Tool安全漏洞(CNNVD-202205-4277、CVE-2022-30190)情况的报送。成功利用此漏洞的攻击者,可在目标主机执行恶意代码。Windows 11、Windows 10、Windows 8、Windows 7、Windows Server 2022、Windows Server 2016、Windows Server 2012、Windows Server 2008、Windows Server version 20H2、Windows Server 2022等多个系统版本均受此漏洞影响。目前,微软官方发布了临时修补措施缓解漏洞带来的危害,请用户及时确认是否受到漏洞影响,尽快采取修补措施。


. 漏洞介绍

Microsoft Windows Support Diagnostic Tool是美国微软公司Windows操作系统内的一个程序,用于排除故障并收集诊断数据以供技术人员分析和解决问题。该漏洞源于Microsoft Windows Support Diagnostic Tool中的URL协议存在逻辑问题,攻击者可诱使目标主机的应用(如word)通过Microsoft Windows Support Diagnostic Tool中的URL协议下载并打开特制的文件,进而在目标主机执行恶意代码。


. 危害影响

成功利用此漏洞的攻击者,可在目标主机执行恶意代码。以下操作系统版本受漏洞影响:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016(Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems


. 修复建议

目前,微软官方发布了临时修补措施缓解漏洞带来的危害,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190


4.2 微软多个安全漏洞的通报


近日,微软官方发布了多个安全漏洞的公告,共61个漏洞。包括多款Microsoft产品资源管理错误漏洞(CNNVD-202205-2800、CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059、CVE-2022-24513)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。


. 漏洞介绍

2022年6月14日,微软发布了2022年6月份安全更新,共61个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Azure Real Time Operating System、Microsoft Windows Defender、Microsoft Windows ALPC、Microsoft Windows File History Service、Microsoft Windows Local Security Authority Subsystem Service等。CNNVD对其危害等级进行了评价,其中高危漏洞29个,中危漏洞32个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。


. 漏洞详情

此次更新共包括55个新增漏洞的补丁程序,其中高危漏洞29个,中危漏洞26个。

信息安全漏洞月报(2022年6月)表9.1

信息安全漏洞月报(2022年6月)表9.2

信息安全漏洞月报(2022年6月)表9.3

信息安全漏洞月报(2022年6月)表9.4

信息安全漏洞月报(2022年6月)表9.5

信息安全漏洞月报(2022年6月)表9.6

信息安全漏洞月报(2022年6月)表9.7


此次更新共包括6个更新漏洞的补丁程序,其中中危漏洞6个。

信息安全漏洞月报(2022年6月)表10


. 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:https://msrc.microsoft.com/update-guide/en-us


来源:CNNVD安全动态

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号