0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 信息安全漏洞周报(2022年第48期)

信息安全漏洞周报(2022年第48期)

(2022 年 11 月21 日至 2022 年 11 月 27 日)


根据国家信息安全漏洞库(CNNVD)统计,本周(2022 年 11 月21 日至 2022 年 11 月 27 日)安全漏洞情况如下:


公开漏洞情况


本周 CNNVD 采集安全漏洞 356 个。


接报漏洞情况


本周 CNNVD 接报漏洞 12828 个,其中信息技术产品漏洞(通用型漏洞)170 个,网络信息系统漏洞(事件型漏洞)237 个,漏洞平台推送漏洞 12421 个。


一、公开漏洞情况


根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞 356个,漏洞新增数量有所下降。从厂商分布来看 WordPress 基金会新增漏洞最多,有 21 个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到 8.71%。新增漏洞中,超危漏洞 66 个,高危漏洞 56 个,中危漏洞 230 个,低危漏洞 4 个。相应修复率分别为 51.52%、60.71%、68.70%和 50.00%。根据补丁信息统计,合计 228 个漏洞已有修复补丁发布,整体修复率为 64.04%。


(一) 安全漏洞增长数量情况

本周 CNNVD 采集安全漏洞 356 个。

金瀚信安:信息安全漏洞周报(2022年第48期)图1


图 1 近五周漏洞新增数量统计图


(二) 安全漏洞分布情况

从厂商分布来看,WordPress 基金会新增漏洞最多,有 21 个。各厂商漏洞数量分布如表 1 所示。3


表 1 新增安全漏洞排名前五厂商统计表

金瀚信安:信息安全漏洞周报(2022年第48期)表1


本周国内厂商漏洞 55 个,腾达公司漏洞数量最多,有 15 个。国内厂商漏洞整体修复率为 33.33%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到8.71%。漏洞类型统计如表 3 所示。


表 2 漏洞类型统计表

金瀚信安:信息安全漏洞周报(2022年第48期)表2-1

金瀚信安:信息安全漏洞周报(2022年第48期)表2-2


(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞 66 个,高危漏洞 56 个,中危漏洞 230 个,低危漏洞 4 个。相应修复率分别为 51.52%、60.71%、68.70%和 50.00%。根据补丁信息统计,合计 228 个漏洞已有修复补丁发布,整体修复率为 64.04%。详细情况如表 3 所示。


表 3 漏洞危害等级与修复情况

金瀚信安:信息安全漏洞周报(2022年第48期)表3


(四) 本周重要漏洞实例

本周重要漏洞实例如表 4 所示。


表 4 本期重要漏洞实例

金瀚信安:信息安全漏洞周报(2022年第48期)表4


1. WordPress plugin Contact Form 7 Database Addon 安全漏洞(CNNVD-202211-3211)

WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP和 MySQL 的服务器上架设个人博客网站。WordPress plugin 是一个应用插件。

WordPress plugin Contact Form 7 Database Addon 1.2.6.5之前版本存在安全漏洞,该漏洞源于在将数据输出到 CSV 文件时不会验证数据的准确性,从而导致 CSV 注入。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/b5eeefb0-fb5e-4ca6-a6f0-67f4be4a2b10


2. Linux kernel 资源管理错误漏洞(CNNVD-202211-3294)

Linux kernel 是美国 Linux 基金会的开源操作系统 Linux 所使用的内核。

Linux kernel 存在安全漏洞,该漏洞源于存在内存释放后重用问题。攻击者利用该漏洞可以升级权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/torvalds/linux/commit/fc7222c3a9f56271fba02aabbfbae999042f1679


3. Apache Hama 输入验证错误漏洞(CNNVD-202211-3204)

Apache Hama 是美国阿帕奇(Apache)公司的一个基于批量同步并行计算技术的分布式计算框架。用于大规模科学计算,例如矩阵,图形和网络算法。

Apache Hama 存在输入验证错误漏洞,该漏洞源于对用户的输入缺少验证。攻击者可利用该漏洞执行路径遍历攻击和跨站脚本攻击获取敏感信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/ztvoshd4kxvp5vlro52mpgpfxct4ft8l


二、漏洞平台推送情况


本周漏洞平台推送漏洞 12421 个。


三、接报漏洞情况


本周 CNNVD 接报漏洞 407 个,其中信息技术产品漏洞(通用型漏洞)170 个,网络信息系统漏洞(事件型漏洞)237 个。


表 5 本周漏洞报送情况

(详情略)


四、收录漏洞通报情况


本周 CNNVD 收录漏洞通报 53 份。

(详情略)


文章来源:国家信息安全漏洞库

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号