0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 2022年CNVD漏洞周报第27期

2022年CNVD漏洞周报第27期

(2022年07月04日-2022年07月10日)


本周漏洞态势研判情况


本周信息安全漏洞威胁整体评价级别为中。


国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞385个,其中高危漏洞107个、中危漏洞236个、低危漏洞42个。漏洞平均分值为5.90。本周收录的漏洞中,涉及0day漏洞279个(占72%),其中互联网上出现“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数7858个,与上周(6721个)环比增加17%。

金瀚信安:2022年CNVD漏洞周报第27期 图1


图1 CNVD收录漏洞近10周平均分值分布图


本周漏洞事件处置情况


本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件21起,向基础电信企业通报漏洞事件19起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件610起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件174起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件101起。


此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:(略)


本周漏洞报送情况统计


本周报送情况如表1所示。其中,新华三技术有限公司、北京神州绿盟科技有限公司、北京数字观星科技有限公司、深信服科技股份有限公司、安天科技集团股份有限公司等单位报送公开收集的漏洞数量较多。贵州泰若数字科技有限公司、奇安星城网络安全运营服务(长沙)有限公司、河南东方云盾信息技术有限公司、北京众安天下科技有限公司、杭州迪普科技股份有限公司、河南信安世纪科技有限公司、北京中百信信息技术股份有限公司、浙江大华技术股份有限公司、北京冠程科技有限公司、重庆都会信息科技有限公司、长春嘉诚信息技术股份有限公司、巨鹏信息科技有限公司、北京天地和兴科技有限公司、上海纽盾科技股份有限公司、北京安帝科技有限公司、亚信科技(成都)有限公司、杭州默安科技有限公司、北京墨云科技有限公司、杭州美创科技有限公司、山石网科通信技术股份有限公司、广州百蕴启辰科技有限公司、浙江木链物联网科技有限公司、北京升鑫网络科技有限公司及其他个人白帽子向CNVD提交了7858个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、三六零数字安全科技集团有限公司、奇安信网神(补天平台)和上海交大向CNVD共享的白帽子报送的5998条原创漏洞信息。


表1 漏洞报送情况统计表(略)


本周漏洞按类型和厂商统计


本周,CNVD收录了385个漏洞。WEB应用154个,应用程序113个,网络设备(交换机、路由器等网络端设备)74个,操作系统27个,智能设备(物联网终端设备)10个,安全产品7个。


表2 漏洞按影响类型统计表

金瀚信安:2022年CNVD漏洞周报第27期 表2

金瀚信安:2022年CNVD漏洞周报第27期 图2


图2 本周漏洞按影响类型分布


CNVD整理和发布的漏洞涉及Jenkins、D-Link、Adobe等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。


表3 漏洞产品涉及厂商分布统计表

金瀚信安:2022年CNVD漏洞周报第27期 表3


本周行业漏洞收录情况


本周,CNVD收录了54个电信行业漏洞,15个移动互联网行业漏洞,3个工控行业漏洞(如下图所示)。其中,“Google Android权限提升漏洞(CNVD-2022-50272、CNVD-2022-50274)”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。


电信行业漏洞链接:http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接:http://mi.cnvd.org.cn/

工控系统行业漏洞链接:http://ics.cnvd.org.cn/

金瀚信安:2022年CNVD漏洞周报第27期 图3

图3 电信行业漏洞统计

金瀚信安:2022年CNVD漏洞周报第27期 图4


图4 移动互联网行业漏洞统计

金瀚信安:2022年CNVD漏洞周报第27期 图5


图5 工控系统行业漏洞统计


本周重要漏洞安全告警


本周,CNVD整理和发布以下重要安全漏洞信息。


1、Adobe产品安全漏洞

Adobe Bridge是美国奥多比(Adobe)公司的一款文件查看器。Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。Adobe Photoshop是美国奥多比(Adobe)公司的一套图片处理软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括:Adobe Bridge越界写入漏洞(CNVD-2022-50224)、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2022-50228)、Adobe InCopy越界写入漏洞(CNVD-2022-50232、CNVD-2022-50231、CNVD-2022-50230)、Adobe Animate越界写入漏洞(CNVD-2022-50234)、Adobe Photoshop越界写入漏洞(CNVD-2022-50238、CNVD-2022-50239)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50224

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50228

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50232

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50231

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50230

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50234

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50238

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50239


2、IBM产品安全漏洞

IBM Cognos Controller是美国IBM公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Security Verify Access(ISAM)是美国IBM公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合,提供一个可满足现代数字企业全面集成需求的平台。IBM Sterling Partner Engagement Manager是美国IBM公司的一个自动化管理工具。IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,获取敏感信息或可能更改某些信息,导致拒绝服务攻击等。

CNVD收录的相关漏洞包括:IBM Cognos Controller授权问题漏洞(CNVD-2022-48940、CNVD-2022-48941)、IBM Security Verify Access输入验证错误漏洞、IBM App Connect Enterprise Certified Container拒绝服务漏洞、IBM Sterling Partner Engagement Manager信息泄露漏洞、IBM AIX拒绝服务漏洞(CNVD-2022-48944、CNVD-2022-48943、CNVD-2022-48942)。其中,“IBM Cognos Controller授权问题漏洞(CNVD-2022-48940、CNVD-2022-48941)、IBM AIX拒绝服务漏洞(CNVD-2022-48944)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48940

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48944

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48943

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48942

https://www.cnvd.org.cn/flaw/show/CNVD-2022-48941


3、Google产品安全漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,执行任意代码。

CNVD收录的相关漏洞包括:Google Chrome WebRTC远程代码执行漏洞、Google Android权限提升漏洞(CNVD-2022-50272、CNVD-2022-50271、CNVD-2022-50276、CNVD-2022-50274、CNVD-2022-50273)、Google Android信息泄露漏洞(CNVD-2022-50275、CNVD-2022-50278)。其中,“Google Chrome WebRTC远程代码执行漏洞、Google Android权限提升漏洞(CNVD-2022-50272、CNVD-2022-50274)”的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-49948

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50272

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50271

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50276

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50275

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50274

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50273

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50278


4、Cisco产品安全漏洞

Cisco Unified Communications Manager(CUCM,Unified CM,CallManager)是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件。Unified Communications Manager Session Management Edition是Unified Communications Manager的会话管理版。Cisco Unity Connection是一套语音留言平台。该平台可利用语音命令,以免提方式拨打电话或收听留言。Cisco AppDynamics Controller是美国思科(Cisco)公司的通过跨高度分布式应用程序环境的精确跟踪和分析来监控和分析全栈数据。Cisco Smart Software Manager On-Prem是一款用于Cisco产品许可证管理的组件。Cisco Smart Software Manager是一个为用于提供许可证智能管理功能的软件。该软件消除了繁琐的产品激活密钥(PAK)和许可证文件管理,使许可证节点不再锁定到设备,可以支持任何兼容的设备上使用许可证。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞读取主机上的任意文件,获取敏感信息,并在易受攻击的用户浏览器中执行任意HTML和脚本代码,造成拒绝服务等。

CNVD收录的相关漏洞包括:Cisco Unified Communications Manager任意文件读取漏洞(CNVD-2022-50625、CNVD-2022-50631)、Cisco Unified Communications Manager跨站脚本漏洞(CNVD-2022-50628、CNVD-2022-50630)、Cisco Unified Communications Manager和Cisco Unity Connection信息泄露漏洞、Cisco Unified Communications Manager访问控制错误漏洞、Cisco AppDynamics Controller授权问题漏洞、Cisco Smart Software Manager On-Prem和Cisco Smart Software Manager资源管理错误漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50625

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50628

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50627

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50626

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50632

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50631

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50630

https://www.cnvd.org.cn/flaw/show/CNVD-2022-50629


5、Jenkins Agent Server Parameter Plugin跨站脚本漏洞(CNVD-2022-49787)

Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建,部署和自动化任何项目。Jenkins Plugin是一个应用软件。本周,Jenkins Agent Server Parameter Plugin被披露存在跨站脚本漏洞。该漏洞源于未在显示参数的视图上对Agent Server参数的名称和描述进行转义,攻击者可利用该漏洞在客户端执行JavaScript代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49787


更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询。参考链接:http://www.cnvd.org.cn/flaw/list.htm


表4 部分重要高危漏洞列表

金瀚信安:2022年CNVD漏洞周报第27期 表4


小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外,IBM、Google、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过安全限制,读取主机上的任意文件,获取敏感信息,执行任意代码,导致拒绝服务攻击等。另外,Jenkins Agent Server Parameter Plugin被披露存在跨站脚本漏洞。攻击者可利用该漏洞在客户端执行JavaScript代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。(编辑:CNVD)


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号