信息安全漏洞周报（2022年第30期）

  根据国家信息安全漏洞库（CNNVD）统计，本周（2022年7月18日至2022年7月24日）安全漏洞情况如下：

公开漏洞情况

  本周CNNVD采集安全漏洞533个。

接报漏洞情况

  本周CNNVD接报漏洞3462个，其中信息技术产品漏洞（通用型漏洞）59个，网络信息系统漏洞（事件型漏洞）94个，漏洞平台推送漏洞3309个。

一、公开漏洞情况

  根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞533个，漏洞新增数量有所下降。从厂商分布来看Oracle公司新增漏洞最多，有82个；从漏洞类型来看，输入验证错误类的安全漏洞占比最大，达到15.20%。新增漏洞中，超危漏洞39个，高危漏洞146个，中危漏洞307个，低危漏洞41个。相应修复率分别为48.72%、87.67%、88.27%和92.68%。根据补丁信息统计，合计456个漏洞已有修复补丁发布，整体修复率为85.55%。

  本周CNNVD采集安全漏洞533个。

图1 近五周漏洞新增数量统计图

  从厂商分布来看，Oracle公司新增漏洞最多，有82个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	Oracle	82	15.38%
2	苹果	56	10.51%
3	思科	45	8.44%
4	WordPress基金会	32	6.00%
5	福昕	18	3.38%

  本周国内厂商漏洞52个，中国福昕公司漏洞数量最多，有18个。国内厂商漏洞整体修复率为55.36%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

  从漏洞类型来看, 输入验证错误类的安全漏洞占比最大，达到15.20%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	输入验证错误	81	15.20%
2	缓冲区错误	59	11.07%
3	资源管理错误	21	3.94%
4	跨站脚本	17	3.19%
5	命令注入	15	2.81%
6	信息泄露	14	2.63%
7	代码问题	14	2.63%
8	跨站请求伪造	12	2.25%
9	权限许可和访问控制问题	11	2.06%
10	SQL注入	11	2.06%
11	授权问题	8	1.50%
12	访问控制错误	8	1.50%
13	信任管理问题	4	0.75%
14	路径遍历	3	0.56%
15	代码注入	3	0.56%
16	注入	3	0.56%
17	安全特征问题	2	0.38%
18	日志信息泄露	1	0.19%
19	竞争条件问题	1	0.19%
20	操作系统命令注入	1	0.19%
21	后置链接	1	0.19%
22	其他	243	45.59%

  本周共发布超危漏洞39个，高危漏洞146个，中危漏洞307个，低危漏洞41个。相应修复率分别为48.72%、87.67%、88.27%和92.68%。根据补丁信息统计，合计456个漏洞已有修复补丁发布，整体修复率为85.55%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量（个）	修复数量（个）	修复率
1	超危	39	19	48.72%
2	高危	146	128	87.67%
3	中危	307	271	88.27%
4	低危	41	38	92.68%
合计		533	456	85.55%

  本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞	漏洞编号	厂商	漏洞实例	是否修复	危害等级
	类型
1	其他	CNNVD-202207-1492	Apache基金会	Apache CloudStack 安全漏洞	是	超危
2	其他	CNNVD-202207-2120	思科	Cisco Nexus Dashboard 安全漏洞	是	高危
3	输入验证错误	CNNVD-202207-1598	Oracle	Oracle Fusion Middleware 输入验证错误漏洞	是	高危

1.Apache CloudStack 安全漏洞（CNNVD-202207-1492）

  Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。

  Apache CloudStack 4.5.0 及更高版本存在安全漏洞。攻击者利用该漏洞可进行XML外部实体(XXE)注入攻击。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

 https://lists.apache.org/thread/hwhxvtwp1d5dsm156bsf1cnyvtmrfv3f

2. Cisco Nexus Dashboard 安全漏洞（CNNVD-202207-2120）

  Cisco Nexus Dashboard是美国思科（Cisco）公司的一个单一控制台，能够简化数据中心网络的运营和管理。

  Cisco Nexus Dashboard 存在安全漏洞。未经身份验证的远程攻击者利用该漏洞可以对受影响的设备进行跨站点请求伪造 (CSRF) 攻击。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

 https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

3. Oracle Fusion Middleware 输入验证错误漏洞（CNNVD-202207-1598）

  Oracle Fusion Middleware（Oracle融合中间件）是美国甲骨文（Oracle）公司的一套面向企业和云环境的业务创新平台。该平台提供了中间件、软件集合等功能。

  Oracle SOA Suite(component: Fabric Layer) 12.2.1.3.0版本和12.2.1.4.0版本存在输入验证错误漏洞，攻击者利用该漏洞可通过HTTP访问网络，从而获取关键数据，并对其进行创建、删除或修改操作。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

  https://www.oracle.com/security-alerts/cpujul2022.html

二、漏洞平台推送情况

    本周漏洞平台推送漏洞3309个。

序号	漏洞平台	漏洞总量
1	漏洞盒子	3241
2	补天平台	68
推送总计		3309

三、接报漏洞情况

  本周CNNVD接报漏洞153个，其中信息技术产品漏洞（通用型漏洞）59个，网络信息系统漏洞（事件型漏洞）94个。

序号	报送单位	漏洞总量
1	山东新潮信息技术有限公司	50
2	南京众智维科技有限公司	18
3	杭州安恒信息技术股份有限公司	13
4	北京云测信息技术有限公司	9
5	北京国舜科技股份有限公司	8
6	北京天融信网络安全技术有限公司	8
7	北京华顺信安科技有限公司	5
8	北京数字观星科技有限公司	5
9	广州竞远安全技术股份有限公司	4
10	三六零数字安全科技集团有限公司	3
11	个人	3
12	浙江宇视科技有限公司	3
13	中电信数智科技有限公司	3
14	中能融合智慧科技有限公司	3
15	北京安信天行科技有限公司	2
16	北京六方云信息技术有限公司	2
17	北京天地和兴科技有限公司	2
18	六方云信息技术有限公司	2
19	天津市兴先道科技有限公司	2
20	北京机沃科技有限公司	1
21	北京神州绿盟科技有限公司	1
22	广西壮族自治区信息安全测评中心	1
23	杭州迪普科技股份有限公司	1
24	华为技术有限公司	1
25	浪潮电子信息产业股份有限公司	1
26	南京赛宁信息技术有限公司	1
27	四川虹微技术有限公司	1
报送总计		153

四、接报漏洞通报情况

  本周CNNVD接报漏洞通报118份。

序号	报送单位	通报总量
1	深信服科技股份有限公司	18
2	杭州迪普科技股份有限公司	14
3	北京华云安信息技术有限公司	12
4	北京数字观星科技有限公司	10
5	上海斗象信息科技有限公司	8
6	中瑞创信息技术（北京）有限公司	8
7	安徽华云安科技有限公司	7
8	新华三技术有限公司	5
9	杭州用九智汇科技有限公司	4
10	北京神州绿盟科技有限公司	3
11	北京知道创宇信息技术股份有限公司	3
12	奇安信网神信息技术（北京）股份有限公司	3
13	浙江大华技术股份有限公司	3
14	北京永信至诚科技股份有限公司	2
15	杭州安恒信息技术股份有限公司	2
16	三六零数字安全科技集团有限公司	2
17	太极计算机股份有限公司	2
18	北京华顺信安科技有限公司	1
19	北京启明星辰信息安全技术有限公司	1
20	北京山石网科信息技术有限公司	1
21	北京天融信网络安全技术有限公司	1
22	恒安嘉新（北京）科技股份公司	1
23	华为技术有限公司	1
24	内蒙古洞明科技有限公司	1
25	上海安识网络科技有公司	1
26	腾讯公司	1
27	天翼数智科技（北京）有限公司	1
28	远江盛邦（北京）网络安全科技股份有限公司	1
29	长春嘉诚信息技术股份有限公司	1
报送总计		118

原文始发于微信公众号（CNNVD安全动态）：信息安全漏洞周报（2022年第30期）