信息安全漏洞周报（2021年第22期）

公开漏洞情况

  本周CNNVD采集安全漏洞446个，与上周（301个）相比增加了48.17%。

接报漏洞情况

  本周CNNVD接报漏洞1584个，其中信息技术产品漏洞（通用型漏洞）76个，网络信息系统漏洞（事件型漏洞）1508个。

 

 

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞446个，漏洞新增数量有所上升。从厂商分布来看苹果公司新增漏洞最多，有71个；从漏洞类型来看，缓冲区错误类的安全漏洞占比最大，达到13.23%。新增漏洞中，超危漏洞38个，高危漏洞107个，中危漏洞270个，低危漏洞31个。相应修复率分别为60.53%、81.31%、76.30%和90.32%。根据补丁信息统计，合计344个漏洞已有修复补丁发布，整体修复率为77.13%。

  本周CNNVD采集安全漏洞446个与上周（301个）相比增加了48.17%。

                           

图1 近五周漏洞新增数量统计图

 

从厂商分布来看，苹果公司新增漏洞最多，有71个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	苹果	71	15.92%
2	IBM	23	5.16%
3	谷歌	22	4.93%
4	Red  Hat	13	2.91%
5	Linux基金会	13	2.91%

  本周国内厂商漏洞9个，华为公司漏洞数量最多，有2个。国内厂商漏洞整体修复率为50.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

  从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大，达到13.23%。漏洞类型统计如表2所示。

    表2 漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	缓冲区错误	59	13.23%
2	跨站脚本	46	10.31%
3	授权问题	19	4.26%
4	输入验证错误	18	4.04%
5	资源管理错误	17	3.81%
6	权限许可和访问控制问题	17	3.81%
7	代码问题	15	3.36%
8	安全特征问题	15	3.36%
9	信息泄露	13	2.91%
10	访问控制错误	10	2.24%
11	命令注入	8	1.79%
12	跨站请求伪造	6	1.35%
13	信任管理问题	6	1.35%
14	路径遍历	5	1.12%
15	SQL注入	4	0.90%
16	数字错误	4	0.90%
17	操作系统命令注入	3	0.67%
18	代码注入	3	0.67%
19	加密问题	3	0.67%
20	数据伪造问题	3	0.67%
21	注入	2	0.45%
22	竞争条件问题	1	0.22%
23	缓冲区错误	59	13.23%

  本周共发布超危漏洞38个，高危漏洞107个，中危漏洞270个，低危漏洞31个。相应修复率分别为60.53%、81.31%、76.30%和90.32%。根据补丁信息统计，合计344个漏洞已有修复补丁发布，整体修复率为77.13%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量（个）	修复数量（个）	修复率
1	超危	38	23	60.53%
2	高危	107	87	81.31%
3	中危	270	206	76.30%
4	低危	31	28	90.32%
合计		446	344	77.13%

    本期重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞	漏洞编号	厂商	漏洞实例	是否修复	危害等级
	类型
1	授权问题	CNNVD-202105-1939	IBM	IBM Cognos Analytics授权问题漏洞	是	超危
2	代码注入	CNNVD-202105-1473	WordPress基金会	WordPress代码注入漏洞	是	高危
3	输入验证错误	CNNVD-202105-1686	Vmware	Vmware vSphere Client输入验证错误漏洞	是	高危

 

1. IBM Cognos Analytics授权问题漏洞（CNNVD-202105-1939）

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等，并可通过分析关键因素与关键人等内容，协助企业调整决策。

IBM Cognos Analytics 存在授权问题漏洞，该漏洞源于DQM API会在未经身份验证的会话中提交所有控制请求。攻击者可利用该漏洞向Cognos Analytics系统读写文件。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.ibm.com/support/pages/node/6451705

2. WordPress代码注入漏洞（CNNVD-202105-1473）

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress插件是WordPress开源的一个应用插件。

WordPress插件 All in One SEO Pack 4.1.0.2及之前版本存在代码注入漏洞，该漏洞允许经过身份验证的攻击者使用“aioseo_tools_settings”的权限在底层主机上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/ab2c94d2-f6c4-418b-bd14-711ed164bcf1

3. Vmware vSphere Client 输入验证错误漏洞（CNNVD-202105-1686）

  VmwarevSphere Client是美国威睿（Vmware）公司的一个应用软件。提供虚拟化管理。

  vSphereClient存在安全漏洞，该漏洞由于vCenterServer默认启用的虚拟SAN健康检查插件缺乏输入验证，导致攻击者可以在底层操作系统上以不受限制的权限执行命令。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.vmware.com/security/advisories/VMSA-2021-0010.html

二、接报漏洞情况

本周CNNVD接报漏洞1584个，其中信息技术产品漏洞（通用型漏洞）76个，网络信息系统漏洞（事件型漏洞）1508个。

表5 本周漏洞报送情况

序号	报送单位	漏洞总量
1	上海斗像信息科技有限公司	804
2	网神信息技术（北京）股份有限公司	538
3	西安四叶草信息技术有限公司	43
4	北京天地和兴科技有限公司	31
5	北京鸿腾智能科技有限公司	26
6	北京安帝科技有限公司	25
7	山东云天安全技术有限公司	25
8	北京数字观星科技有限公司	20
9	广州锦行网络科技有限公司	20
10	中兴通讯	15
11	北京梆梆安全科技有限公司	10
12	北京顶象技术有限公司洞见安全实验室	7
13	北京天融信网络安全技术有限公司	6
14	华为技术有限公司未然实验室	6
15	海南神州希望网络有限公司	4
16	恒安嘉新（北京）科技股份公司	2
17	个人	1
18	内蒙古中叶信息技术有限责任公司	1
报送总计		1584

三、接报漏洞预警情况

    本周CNNVD接报漏洞预警75份。

序号	报送单位	预警总量
1	杭州迪普科技股份有限公司	16
2	深信服科技股份有限公司	12
3	北京华云安信息技术有限公司	5
4	北京启明星辰信息安全技术有限公司	4
5	北京华顺信安科技有限公司	3
6	新华三技术有限公司	3
7	浪潮电子信息产业股份有限公司	3
8	西安四叶草信息技术有限公司	3
9	上海上讯信息技术股份有限公司	2
10	亚信科技（成都）有限公司	2
11	内蒙古洞明科技有限公司	2
12	北京知道创宇信息技术股份有限公司	2
13	北京鸿腾智能科技有限公司	2
14	数字观星应急响应中心	2
15	江苏金盾检测技术有限公司	2
16	上海斗象信息科技有限公司	1
17	内蒙古中叶信息技术有限责任公司	1
18	内蒙古思沃科技有限公司	1
19	北京天融信网络安全技术有限公司	1
20	北京山石网科信息技术有限公司	1
21	北京神州绿盟科技有限公司	1
22	博智安全科技股份有限公司	1
23	杭州安恒信息技术股份有限公司	1
24	网神信息技术（北京）股份有限公司	1
25	远江盛邦(北京)网络安全科技股份有限公司	1
26	铱迅安全应急响应中心	1
27	长亭科技股份有限公司	1
报送总计		75

本文始发于微信公众号（CNNVD安全动态）：信息安全漏洞周报（2021年第22期）