(2022年8月8日至2022年8月14日)

根据国家信息安全漏洞库(CNNVD)统计，本周(2022年8月8日至2022年8月14日)安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞543个。

接报漏洞情况

本周CNNVD接报漏洞1243个，其中信息技术产品漏洞(通用型漏洞)72个，网络信息系统漏洞(事件型漏洞)57个，漏洞平台推送漏洞1114个。

重大漏洞通报

微软多个安全漏洞：包括Microsoft Windows 权限许可和访问控制问题漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 输入验证错误漏洞(CNNVD-202207-1096、CVE-2022-22024)，成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞543个，漏洞新增数量有所上升。从厂商分布来看微软公司新增漏洞最多，有121个;从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到5.71%。新增漏洞中，超危漏洞56个，高危漏洞198个，中危漏洞284个，低危漏洞5个。相应修复率分别为53.57%、83.84%、80.28%和80.00%。根据补丁信息统计，合计428个漏洞已有修复补丁发布，整体修复率为78.82%。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞543个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看，微软公司新增漏洞最多，有121个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞26个，睿因科技公司漏洞数量最多，有16个。国内厂商漏洞整体修复率为11.11%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到5.71%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞56个，高危漏洞198个，中危漏洞284个，低危漏洞5个。相应修复率分别为53.57%、83.84%、80.28%和80.00%。根据补丁信息统计，合计428个漏洞已有修复补丁发布，整体修复率为78.82%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1.Microsoft Exchange Server 安全漏洞(CNNVD-202208-2491)

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。

Microsoft Exchange Server存在安全漏洞。以下产品和版本受到影响：Microsoft Exchange Server 2016 Cumulative Update 22、Microsoft Exchange Server 2019 Cumulative Update 11、Microsoft Exchange Server 2013 Cumulative Update 23、Microsoft Exchange Server 2019 Cumulative Update 12、Microsoft Exchange Server 2016 Cumulative Update 23。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516

2. WordPress Plugin Frontend File Manager & Sharing 代码问题漏洞(CNNVD-202208-2462)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress Plugin Frontend File Manager & Sharing 1.1.3之前版本存在代码问题漏洞，该漏洞源于用户上传文件时程序没有过滤文件扩展名。攻击者利用该漏洞可以上传恶意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/67f3948e-27d4-47a8-8572-616143b9cf43

3. Google Android 安全漏洞(CNNVD-202208-2867)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android 13存在安全漏洞，该漏洞源于系统缺少权限检查导致。攻击者利用该漏洞可以升级本地权限并调整 Wi-Fi 设置。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://source.android.com/security/bulletin/android-13

二、漏洞平台推送情况

本周漏洞平台推送漏洞1114个。

三、接报漏洞情况

本周CNNVD接报漏洞129个，其中信息技术产品漏洞(通用型漏洞)72个，网络信息系统漏洞(事件型漏洞)57个。（详情略）

四、接报漏洞通报情况

本周CNNVD接报漏洞通报98份。（详情略）

五、重大漏洞通报

CNNVD关于微软多个安全漏洞的通报

近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞86个，影响到微软产品的其他厂商漏洞3个。包括Microsoft Windows 权限许可和访问控制问题漏洞(CNNVD-202207-1061、CVE-2022-22022)、Microsoft Windows Fax Service 输入验证错误漏洞(CNNVD-202207-1096、CVE-2022-22024)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

2022年7月12日，微软发布了2022年7月份安全更新，共89个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Visual Studio、Microsoft Windows Shell、Microsoft Graphics Component、 Microsoft Azure、Microsoft Internet Information Services等。CNNVD对其危害等级进行了评价，其中高危漏洞40个，中危漏洞47个，低危漏洞2个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 危害影响

此次更新共包括82个新增漏洞的补丁程序，其中高危漏洞38个，中危漏洞44个。

此次更新共包括4个更新漏洞的补丁程序，其中高危漏洞2个,中危漏洞2个。

此次更新共包括3个影响微软产品的其他厂商漏洞的补丁程序，其中中危漏洞1个，低危漏洞2个。

. 修复建议

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

https://msrc.microsoft.com/update-guide/en-us

来源：CNNVD安全动态