信息安全漏洞周报(2022年第25期)

admin 2022年6月23日09:00:40评论328 views字数 12694阅读42分18秒阅读模式



  根据国家信息安全漏洞库(CNNVD)统计,本周(2022613日至2022619日)安全漏洞情况如下:


公开漏洞情况

  本周CNNVD采集安全漏洞635个。

接报漏洞情况

  本周CNNVD接报漏洞11685个,其中信息技术产品漏洞(通用型漏洞)55个,网络信息系统漏洞(事件型漏洞)411个,漏洞平台推送漏洞11219个。

重大漏洞通报

  微软多个安全漏洞:包括多款Microsoft产品资源管理错误漏洞(CNNVD-202205-2800CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059CVE-2022-24513)等。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

一、公开漏洞情况

  根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞635个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有78个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到9.13%。新增漏洞中,超危漏洞39个,高危漏洞186个,中危漏洞366个,低危漏洞44个。相应修复率分别为69.23%、91.40%、61.48%和22.73%。根据补丁信息统计,合计432个漏洞已有修复补丁发布,整体修复率为68.03%。

(一) 安全漏洞增长数量情况

  本周CNNVD采集安全漏洞635

信息安全漏洞周报(2022年第25期)

1 近五周漏洞新增数量统计图


(二) 安全漏洞分布情况

  从厂商分布来看,WordPress基金会新增漏洞最多,有78个。各厂商漏洞数量分布如表1所示。


1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

78

12.28%

2

微软

57

8.98%

3

Adobe

49

7.72%

4

西门子

27

4.25%

5

FFmpeg

24

3.78%

  本周国内厂商漏洞31个,中国ZZCMS团队漏洞数量最多,有8个。国内厂商漏洞整体修复率为25.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

  从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到9.13%。漏洞类型统计如表3所示。

2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

58

9.13%

2

缓冲区错误

34

5.35%

3

跨站请求伪造

31

4.88%

4

SQL注入

15

2.36%

5

输入验证错误

13

2.05%

6

代码问题

12

1.89%

7

资源管理错误

10

1.57%

8

信息泄露

9

1.42%

9

访问控制错误

9

1.42%

10

操作系统命令注入

4

0.63%

11

授权问题

4

0.63%

12

安全特征问题

3

0.47%

13

数据伪造问题

2

0.31%

14

信任管理问题

2

0.31%

15

命令注入

2

0.31%

16

日志信息泄露

2

0.31%

17

加密问题

1

0.16%

18

代码注入

1

0.16%

19

其他

423

66.61%

(三) 安全漏洞危害等级与修复情况

  本周共发布超危漏洞39个,高危漏洞186个,中危漏洞366个,低危漏洞44个。相应修复率分别为69.23%91.40%61.48%22.73%。根据补丁信息统计,合计432个漏洞已有修复补丁发布,整体修复率为68.03%。详细情况如表3所示。

3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

39

27

69.23%

2

高危

186

170

91.40%

3

中危

366

225

61.48%

4

低危

44

10

22.73%

合计

635

432

68.03%



(四) 本周重要漏洞实例

  本周重要漏洞实例如表4所示。

4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

其他

CNNVD-202206-1079

Apache基金会

Apache Hadoop 安全漏洞

超危

2

缓冲区错误

CNNVD-202206-1401

Adobe

Adobe Illustrator 缓冲区错误漏洞

高危

3

其他

CNNVD-202206-1134

WordPress基金会

WordPress plugin WP-CRM 安全漏洞

高危


1.Apache Hadoop 安全漏洞(CNNVD-202206-1079

  Apache Hadoop是美国阿帕奇(Apache)基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理,并具有高可靠性、高扩展性、高容错性等特点。

  Apache Hadoop存在安全漏洞,该漏洞源于libhdfs存在堆缓冲区溢出。攻击者利用该漏洞诱使用户打开恶意文件,从而进行拒绝服务攻击或执行任意代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

 https://lists.apache.org/thread/2h56ztcj3ojc66qzf1nno88vjw9vd4wo

2. Adobe Illustrator 缓冲区错误漏洞(CNNVD-202206-1401

  Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。

  Adobe Illustrator 存在缓冲区错误漏洞。攻击者利用该漏洞可执行任意代码。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

 https://helpx.adobe.com/security/products/illustrator/apsb22-26.html

3. WordPress plugin WP-CRM 安全漏洞(CNNVD-202206-1134

  WordPressWordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHPMySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

  WordPress plugin WP-CRM 1.2.1版本及之前版本存在安全漏洞,该漏洞源于在将人员名单导入到 CSV 文件时程序未对字段进行验证和清理,从而导致 CSV 注入攻击。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

 https://wpscan.com/vulnerability/53c8190c-baef-4807-970b-f01ab440576a


二、漏洞平台推送情况

    本周漏洞平台推送漏洞11219个。

序号

漏洞平台

漏洞总量

1

漏洞盒子

6481

2

补天平台

4738

推送总计

11219

三、接报漏洞情况

  本周CNNVD接报漏洞466个,其中信息技术产品漏洞(通用型漏洞)55个,网络信息系统漏洞(事件型漏洞)411个。

5 本周漏洞报送情况

序号

报送单位

漏洞总量

1

北京山石网科信息技术有限公司

315

2

西安四叶草信息技术有限公司

46

3

星云博创科技有限公司

21

4

南京众智维信息科技有限公司

20

5

北京华顺信安科技有限公司

9

6

北京数字观星科技有限公司

8

7

北京天融信网络安全技术有限公司

8

8

北京华云安信息技术有限公司

7

9

杭州安恒信息技术股份有限公司

5

10

广州竞远安全技术股份有限公司

4

11

北京中测安华科技有限公司

3

12

北京安帝科技有限公司

2

13

北京城市学院

2

14

北京神州绿盟科技有限公司

2

15

个人

2

16

广州天懋信息系统股份有限公司

2

17

国防科技大学

2

18

天津市兴先道科技有限公司

2

19

北京微步在线科技有限公司

1

20

国网湖南省电力有限公司湘西供电分公司

1

21

北京机沃科技有限公司

1

22

四川劦久信息安全技术有限公司

1

23

长春嘉诚信息技术股份有限公司

1

24

中国科学院软件研究所

1

报送总计

466

四、接报漏洞通报情况

  本周CNNVD接报漏洞通报90份。

序号

报送单位

预警总量

1

北京华云安信息技术有限公司

20

2

杭州迪普科技股份有限公司

14

3

北京数字观星科技有限公司

10

4

新华三技术有限公司

6

5

中瑞创信息技术(北京)有限公司

6

6

安徽华云安科技有限公司

6

7

深信服科技股份有限公司

5

8

奇安信网神信息技术(北京)股份有限公司

4

9

北京知道创宇信息技术股份有限公司

3

10

杭州安恒信息技术股份有限公司

2

11

北京六方云信息技术有限公司

2

12

上海斗象信息科技有限公司

1

13

北京神州绿盟科技有限公司

1

14

北京国舜科技股份有限公司

1

15

南京铱迅信息技术股份有限公司

1

16

北京永信至诚科技股份有限公司

1

17

长春嘉诚信息技术股份有限公司

1

18

上海安识网络科技有公司

1

19

天翼数智科技(北京)有限公司

1

20

北京小佑科技有限公司

1

21

北京华顺信安科技有限公司

1

22

北京天融信网络安全技术有限公司

1

23

远江盛邦(北京)网络安全科技股份有限公司

1

报送总计

90

五、重大漏洞通报

CNNVD关于微软多个安全漏洞的通报

  近日,微软官方发布了多个安全漏洞的公告,共61个漏洞。包括多款Microsoft产品资源管理错误漏洞(CNNVD-202205-2800CVE-2022-23267)、Microsoft Visual Studio 安全漏洞(CNNVD-202204-3059CVE-2022-24513)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

.漏洞介绍

  2022614日,微软发布了20226月份安全更新,共61个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows Windows 组件、Microsoft Azure Real Time Operating SystemMicrosoft Windows DefenderMicrosoft Windows ALPCMicrosoft Windows File History ServiceMicrosoft Windows Local Security Authority Subsystem Service等。CNNVD对其危害等级进行了评价,其中高危漏洞29个,中危漏洞32个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

.危害影响

  此次更新共包括55个新增漏洞的补丁程序,其中高危漏洞29个,中危漏洞26个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

多款Microsoft产品资源管理错误漏洞

CNNVD-202205-2800

CVE-2022-23267

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23267

2

Microsoft  Visual Studio 安全漏洞

CNNVD-202204-3059

CVE-2022-24513

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24513

3

Microsoft  Windows 权限许可和访问控制问题漏洞

CNNVD-202204-3114

CVE-2022-24527

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24527

4

Microsoft  .NET Framework输入验证错误漏洞

CNNVD-202204-3008

CVE-2022-26832

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26832

5

Microsoft SQL  Server 安全漏洞

CNNVD-202206-1391

CVE-2022-29143

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29143

6

Microsoft  Azure 安全漏洞

CNNVD-202206-1214

CVE-2022-29149

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29149

7

Microsoft  Windows 安全漏洞

CNNVD-202206-1286

CVE-2022-30140

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30140

8

Microsoft  Windows File History Service 安全漏洞

CNNVD-202206-1283

CVE-2022-30142

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30142

9

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1278

CVE-2022-30143

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30143

10

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1264

CVE-2022-30146

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30146

11

Microsoft  Windows Installer 安全漏洞

CNNVD-202206-1257

CVE-2022-30147

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30147

12

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1239

CVE-2022-30149

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30149

13

Microsoft  Windows Defender 安全漏洞

CNNVD-202206-1237

CVE-2022-30150

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30150

14

Microsoft  Windows Ancillary Function Driver for WinSock 安全漏洞

CNNVD-202206-1234

CVE-2022-30151

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30151

15

Microsoft  Windows 安全漏洞

CNNVD-202206-1230

CVE-2022-30152

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30152

16

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1228

CVE-2022-30153

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30153

17

Microsoft  SharePoint 安全漏洞

CNNVD-202206-1371

CVE-2022-30158

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30158

18

Microsoft  Windows ALPC 安全漏洞

CNNVD-202206-1226

CVE-2022-30160

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30160

19

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1225

CVE-2022-30161

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30161

20

Microsoft  Hyper-V 安全漏洞

CNNVD-202206-1223

CVE-2022-30163

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30163

21

Microsoft  Windows Kerberos 安全漏洞

CNNVD-202206-1222

CVE-2022-30164

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30164

22

Microsoft  Windows Kerberos 安全漏洞

CNNVD-202206-1219

CVE-2022-30165

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30165

23

Microsoft  Windows Local Security Authority Subsystem Service 安全漏洞

CNNVD-202206-1221

CVE-2022-30166

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30166

24

Microsoft  Excel 安全漏洞

CNNVD-202206-1311

CVE-2022-30173

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30173

25

Microsoft  Office 安全漏洞

CNNVD-202206-1399

CVE-2022-30174

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30174

26

Microsoft  Azure Real Time Operating System 安全漏洞

CNNVD-202206-1424

CVE-2022-30178

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30178

27

多款Microsoft产品安全漏洞

CNNVD-202206-1432

CVE-2022-30188

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30188

28

Microsoft  Windows Support Diagnostic Tool 操作系统命令注入漏洞

CNNVD-202205-4277

CVE-2022-30190

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

29

Microsoft  Windows SMBv3 代码问题漏洞

CNNVD-202206-1215

CVE-2022-32230

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-32230

30

Microsoft  Windows Kernel 安全漏洞

CNNVD-202206-1229

CVE-2022-30155

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30155

31

Microsoft  Office 安全漏洞

CNNVD-202206-1350

CVE-2022-30159

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30159

32

Microsoft  Windows Kernel 安全漏洞

CNNVD-202206-1224

CVE-2022-30162

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30162

33

Microsoft Office  安全漏洞

CNNVD-202206-1329

CVE-2022-30171

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30171

34

Microsoft  Office安全漏洞

CNNVD-202206-1316

CVE-2022-30172

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30172

35

Microsoft  .NET CoreMicrosoft Visual Studio 安全漏洞

CNNVD-202206-1317

CVE-2022-30184

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30184

36

Microsoft  Windows Codecs Library 安全漏洞

CNNVD-202206-1341

CVE-2022-29111

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29111

37

多款Microsoft产品安全漏洞

CNNVD-202206-1438

CVE-2022-29119

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29119

38

Microsoft  Windows Container Isolation FS Filter Driver 安全漏洞

CNNVD-202206-1300

CVE-2022-30131

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30131

39

Microsoft  Windows Container Manager Service 安全漏洞

CNNVD-202206-1291

CVE-2022-30132

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30132

40

Microsoft  Windows Media Foundation 安全漏洞

CNNVD-202206-1290

CVE-2022-30135

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30135

41

Microsoft  Windows Network File System 安全漏洞

CNNVD-202206-1289

CVE-2022-30136

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30136

42

Microsoft  Azure 安全漏洞

CNNVD-202206-1362

CVE-2022-30137

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30137

43

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1288

CVE-2022-30139

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30139

44

Microsoft  Lightweight Directory Access Protocol 安全漏洞

CNNVD-202206-1285

CVE-2022-30141

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30141

45

Microsoft  Windows Encrypting File System 安全漏洞

CNNVD-202206-1270

CVE-2022-30145

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30145

46

Microsoft  Windows PowerShell 安全漏洞

CNNVD-202206-1246

CVE-2022-30148

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30148

47

Microsoft  Remote Volume Shadow Copy Service 安全漏洞

CNNVD-202206-1227

CVE-2022-30154

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30154

48

Microsoft  SharePoint 安全漏洞

CNNVD-202206-1387

CVE-2022-30157

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30157

49

Microsoft  Windows Codecs Library 安全漏洞

CNNVD-202206-1411

CVE-2022-30167

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30167

50

Microsoft  Windows App Store 安全漏洞

CNNVD-202206-1454

CVE-2022-30168

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30168

51

Microsoft  Azure Real Time Operating System 安全漏洞

CNNVD-202206-1421

CVE-2022-30177

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30177

52

Microsoft  Azure Real Time Operating System 安全漏洞

CNNVD-202206-1428

CVE-2022-30179

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30179

53

Microsoft  Azure Real Time Operating System 安全漏洞

CNNVD-202206-1431

CVE-2022-30180

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30180

54

Microsoft  Windows 安全漏洞

CNNVD-202206-1220

CVE-2022-30189

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30189

55

Microsoft  Windows Codecs Library 安全漏洞

CNNVD-202206-1465

CVE-2022-30193

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30193

  此次更新共包括6个更新漏洞的补丁程序,其中中危漏洞6个。

序号

漏洞名称

CNNVD编号

CVE编号

危害等级

官方链接

1

MicrosoftWindows  DCOM Server 安全特征问题漏洞

CNNVD-202106-546

CVE-2021-26414

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-26414

2

Microsoft  Windows Codecs Library 安全漏洞

CNNVD-202206-1347

CVE-2022-22018

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22018

3

Microsoft  Windows 安全漏洞

CNNVD-202206-1330

CVE-2022-21166

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21166

4

Microsoft  Windows 安全漏洞

CNNVD-202206-1336

CVE-2022-21123

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21123

5

Microsoft  Windows 安全漏洞

CNNVD-202206-1339

CVE-2022-21125

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21125

6

Microsoft  Windows 安全漏洞

CNNVD-202206-1332

CVE-2022-21127

中危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21127


.修复建议

  目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

  https://msrc.microsoft.com/update-guide/en-us


原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2022年第25期)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月23日09:00:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞周报(2022年第25期)https://cn-sec.com/archives/1135126.html

发表评论

匿名网友 填写信息