根据国家信息安全漏洞库(CNNVD)统计，本周(2022 年 7 月 4日至 2022 年 7 月 10 日)安全漏洞情况如下：

公开漏洞情况

本周 CNNVD 采集安全漏洞 280 个。

接报漏洞情况

本周 CNNVD 接报漏洞 3834 个，其中信息技术产品漏洞(通用型漏洞)99 个，网络信息系统漏洞(事件型漏洞)402 个，漏洞平台推送漏洞 3333 个。

重大漏洞通报

OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)：成功利用此漏洞的攻击者，可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4 版本受漏洞影响。目前，OpenSSL 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞 280个，漏洞新增数量有所下降。从厂商分布来看谷歌公司新增漏洞最多，有 36 个;从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到7.14%。新增漏洞中，超危漏洞 21 个，高危漏洞 66 个，中危漏洞 178个，低危漏洞 15 个。相应修复率分别为 52.38%、71.21%、87.08%和100.00%。根据补丁信息统计，合计 228 个漏洞已有修复补丁发布，整体修复率为 81.43%。

(一) 安全漏洞增长数量情况

本周 CNNVD 采集安全漏洞 280 个。

图 1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看，谷歌公司新增漏洞最多，有 36 个。各厂商漏洞数量分布如表 1 所示。

表 1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞 38 个，中国联发科技股份有限公司漏洞数量最多，有 11 个。国内厂商漏洞整体修复率为 57.50%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到7.14%。漏洞类型统计如表 3 所示。

表 2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞 21 个，高危漏洞 66 个，中危漏洞 178 个，低危漏洞 15 个。相应修复率分别为 52.38%、71.21%、87.08%和100.00%。根据补丁信息统计，合计 228 个漏洞已有修复补丁发布，整体修复率为 81.43%。详细情况如表 3 所示。

表 3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表 4 所示。

表 4 本期重要漏洞实例

1. WordPress plugin nextgen-galery 安全漏洞(CNNVD-202207-557)

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个应用插件。

WordPress plugin nextgen-galery 2.0.77.3 之前版本存在安全漏洞，该漏洞源于程序没有验证用户上传的文件。攻击者利用该漏洞可以获得对 Web 应用程序的完全访问权限。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://wpscan.com/vulnerability/c894727a-b779-4583-a860-13c2c27275d4

2. Cloud Mobility for Dell EMC Storage 安全漏洞(CNNVD-202207-617)

Cloud Mobility for Dell EMC Storage 是美国戴尔(Dell)公司的一款支持访问公共云的快照备份产品。

Cloud Mobility for Dell EMC Storage 1.3.0 版本及之前版本存在安全漏洞。攻击者利用该漏洞可以获得 root 权限。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.dell.com/support/kbdoc/en-us/000201258/dsa-2022-182-cloud-mobility-for-dell-emc-storage-security-update-for-a-path-traversal-rce-vulnerability

3. Cisco Smart Software Manager On-Prem 和 Cisco Smart Software Manager 资源管理错误漏洞(CNNVD-202207-523)

Cisco Smart Software Manager On-Prem(SSM On-Prem)和 CiscoSmart Software Manager 都是美国思科(Cisco)公司的产品。CiscoSmart Software Manager On-Prem 是一款用于 Cisco 产品许可证管理的组件。Cisco Smart Software Manager 是一个为用于提供许可证智能管理功能的软件。该软件消除了繁琐的产品激活密钥(PAK)和许可证文件管理，使许可证节点不再锁定到设备，可以支持在任何兼容的设备上使用许可证。

Cisco Smart Software Manager On-Prem 存在资源管理错误漏洞。远程攻击者利用该漏洞可以执行拒绝服务攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tools.cisco.com/security/center/content/CiscoSe curityAdvisory/cisco-sa-onprem-privesc-tP6uNZOS

二、漏洞平台推送情况

本周漏洞平台推送漏洞 3333 个。

三、接报漏洞情况

本周 CNNVD 接报漏洞 501 个，其中信息技术产品漏洞(通用型漏洞)99 个，网络信息系统漏洞(事件型漏洞)402 个。

表 5 本周漏洞报送情况（略）

四、接报漏洞通报情况

本周 CNNVD 接报漏洞通报 142 份。（详情略）

五、重大漏洞通报

CNNVD 关于 OpenSSL 安全漏洞的通报

近日，国家信息安全漏洞库(CNNVD)收到关于 OpenSSL 安全漏洞(CNNVD-202207-242、CVE-2022-2274)情况的报送。成功利用此漏洞的攻击者，可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4 版本受漏洞影响。目前，OpenSSL 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

OpenSSL 是 OpenSSL 团队开发的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。该漏洞源于计算机上具有 2048 位私钥的 RSA 实现不正确，并且在计算过程中会发生内存损坏,导致攻击者可能会在执行计算的机器上远程执行代码。

. 危害影响

成功利用此漏洞的攻击者，可造成目标机器内存损坏,进而在目标机器远程执行代码。OpenSSL 3.0.4 版本受漏洞影响。

. 修复建议

目前，OpenSSL 官方已发布新版本修复了漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

https://git.openssl.org/gitweb/?p=openssl.git;a=commitdiff;h=4d8a88c134df634ba610ff8db1eb8478ac5fd345

来源：国家信息安全漏洞库