本周漏洞態(tài)勢研判情況

本周信息安全漏洞威脅整體評價級別為中。

國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞178個，其中高危漏洞67個、中危漏洞92個、低危漏洞19個。漏洞平均分值為5.88。本周收錄的漏洞中，涉及0day漏洞86個(占48%)，其中互聯(lián)網(wǎng)上出現(xiàn)“WUZHI CMS SQL注入漏洞(CNVD-2022-36985)、BluditCMS跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關(guān)和企事業(yè)單位的事件型漏洞總數(shù)8445個，與上周(14613個)環(huán)比減少42%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計

本周漏洞事件處置情況

本周，CNVD向銀行、保險、能源等重要行業(yè)單位通報漏洞事件44起，向基礎(chǔ)電信企業(yè)通報漏洞事件43起，協(xié)調(diào)CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件516起，協(xié)調(diào)教育行業(yè)應(yīng)急組織驗證和處置高校科研院所系統(tǒng)漏洞事件90起，向國家上級信息安全協(xié)調(diào)機構(gòu)上報涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件128起。

圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計

圖4 CNCERT各分中心處置情況按周統(tǒng)計

圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計

此外，CNVD通過已建立的聯(lián)系機制或涉事單位公開聯(lián)系渠道向以下單位通報了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

重慶中聯(lián)信息產(chǎn)業(yè)有限責(zé)任公司、浙江中易慧能科技有限公司、浙江浙大中控信息技術(shù)有限公司、浙江大華技術(shù)股份有限公司、云南博爾科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、兄弟(中國)商業(yè)有限公司、新道科技股份有限公司、夏普商貿(mào)(中國)有限公司、西安中望軟件資訊有限責(zé)任公司、西安瑞友信息技術(shù)資訊有限公司、武漢眾為信息技術(shù)有限公司、微軟(中國)有限公司、網(wǎng)經(jīng)科技(蘇州)有限公司、通贏天下(天津)網(wǎng)絡(luò)科技有限公司、四川萬博教育軟件股份有限公司、神州數(shù)碼控股有限公司、深圳維盟科技股份有限公司、深圳市鎮(zhèn)安科技有限公司、深圳市思迪信息技術(shù)股份有限公司、深圳市庫迪科技有限公司、深圳市集時通訊有限公司、深圳市吉祥騰達科技有限公司、深圳市河辰通訊技術(shù)有限公司、深圳市和為順網(wǎng)絡(luò)技術(shù)有限公司、深圳市共濟科技股份有限公司、深圳市多酷科技有限公司、深圳市必聯(lián)電子有限公司、深圳齊心好視通云計算有限公司、深圳科士達科技股份有限公司、上海展盟網(wǎng)絡(luò)科技有限公司、上海云翌通信科技有限公司、上海焱鳳信息技術(shù)有限公司、上海攜寧計算機科技股份有限公司、上海威派格智慧水務(wù)股份有限公司、上海樹維信息科技有限公司、上海商湯智能科技有限公司、上海商派網(wǎng)絡(luò)科技有限公司、上海華測導(dǎo)航技術(shù)股份有限公司、上海博達數(shù)據(jù)通信有限公司、上海愛數(shù)信息技術(shù)股份有限公司、上海艾泰科技有限公司、山東歐倍爾軟件科技有限責(zé)任公司、廈門網(wǎng)中網(wǎng)軟件有限公司、廈門四信通信科技有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、全天數(shù)據(jù)管理有限公司、麒麟軟件有限公司、普聯(lián)技術(shù)有限公司、品道電子商務(wù)有限公司、內(nèi)蒙古奔富畜牧業(yè)發(fā)展有限公司、南京天溯自動化控制系統(tǒng)有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、藍網(wǎng)科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、昆明云濤科技有限公司、京瓷辦公信息系統(tǒng)(中國)有限公司、金滿壩(深圳)科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、湖南建研信息技術(shù)股份有限公司、恒鋒信息科技股份有限公司、杭州三匯信息工程有限公司、杭州企盼信息科技有限公司、杭州吉拉科技有限公司、杭州宏服軟件有限公司、杭州海康威視數(shù)字技術(shù)股份有限公司、杭州迪普科技股份有限公司、哈爾濱新中新電子股份有限公司、廣州中望龍騰軟件股份有限公司、廣州市保倫電子有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州國微軟件科技有限公司、廣西南寧領(lǐng)眾網(wǎng)絡(luò)科技有限公司、廣東堡塔安全技術(shù)有限公司、福州青格軟件有限公司、鼎捷軟件股份有限公司、成都星銳藍海網(wǎng)絡(luò)科技有限公司、成都萬江港利科技有限公司、成都索貝數(shù)碼科技股份有限公司、北京中創(chuàng)視訊科技有限公司、北京致遠互聯(lián)軟件股份有限公司、北京云中融信網(wǎng)絡(luò)科技有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京通達信科科技有限公司、北京淘友天下科技發(fā)展有限公司、北京拓爾思信息技術(shù)股份有限公司、北京數(shù)影互聯(lián)科技有限公司、北京清元優(yōu)軟科技有限公司、北京派網(wǎng)軟件有限公司、北京九思協(xié)同軟件有限公司、北京華遠達智聯(lián)科技集團有限公司、北京華宇信息技術(shù)有限公司、北京函云數(shù)據(jù)科技有限公司、北京博海琪林科技有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、安徽旭帆信息科技有限公司、安徽藍盾光電子股份有限公司、騰訊安全應(yīng)急響應(yīng)中心、站幫主CMS、勾股CMS、Victor CMS、TRENDnet、LuckyFrame、LG、FTCMS、EZB Systems, Inc、Dreambox Visual Communications、Cisco、canonical和Axis CommunicationsAB。

本周，CNVD發(fā)布了《Microsoft發(fā)布2022年5月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。

https://www.cnvd.org.cn/webinfo/show/7681

本周漏洞報送情況統(tǒng)計

本周報送情況如表1所示。其中，阿里云計算有限公司、新華三技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團股份有限公司等單位報送公開收集的漏洞數(shù)量較多。重慶都會信息科技有限公司、北京云科安信科技有限公司(Seraph安全實驗室)、快頁信息技術(shù)有限公司、華魯數(shù)智信息技術(shù)(北京)有限公司、廣州百蘊啟辰科技有限公司、上海紐盾科技股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、武漢安域信息安全技術(shù)有限公司、貴州泰若數(shù)字科技有限公司、河南信安世紀科技有限公司、山東云天安全技術(shù)有限公司、北京冠程科技有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、巨鵬信息科技有限公司、上海觀安信息技術(shù)股份有限公司、北京國測信安科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、廣東藍爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、安徽長泰科技有限公司、北京機沃科技有限公司、杭州默安科技有限公司及其他個人白帽子向CNVD提交了8445個以事件型漏洞為主的原創(chuàng)漏洞，其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補天平臺)和三六零數(shù)字安全科技集團有限公司向CNVD共享的白帽子報送的6153條原創(chuàng)漏洞信息。

表1 漏洞報送情況統(tǒng)計表

本周漏洞按類型和廠商統(tǒng)計

本周，CNVD收錄了178個漏洞。WEB應(yīng)用66個，應(yīng)用程序56個，網(wǎng)絡(luò)設(shè)備(交換機、路由器等網(wǎng)絡(luò)端設(shè)備)30個，數(shù)據(jù)庫11個，操作系統(tǒng)9個，智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)5個，安全產(chǎn)品1個。

表2 漏洞按影響類型統(tǒng)計表

圖6 本周漏洞按影響類型分布

CNVD整理和發(fā)布的漏洞涉及Siemens、杭州益仕行信息技術(shù)有限公司、Oracle等多家廠商的產(chǎn)品，部分漏洞數(shù)量按廠商統(tǒng)計如表3所示。

表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計表

本周行業(yè)漏洞收錄情況

本周，CNVD收錄了7個電信行業(yè)漏洞，2個移動互聯(lián)網(wǎng)行業(yè)漏洞，4個工控行業(yè)漏洞(如下圖所示)。其中，“Siemens SIMATIC CP 44x-1 RNA拒絕服務(wù)漏洞、Google Android內(nèi)存錯誤引用漏洞(CNVD-2022-36961)”等漏洞的綜合評級為“高危”。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補程序，請參照CNVD相關(guān)行業(yè)漏洞庫鏈接。

電信行業(yè)漏洞鏈接：http://telecom.cnvd.org.cn/

移動互聯(lián)網(wǎng)行業(yè)漏洞鏈接：http://mi.cnvd.org.cn/

工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

圖7 電信行業(yè)漏洞統(tǒng)計

圖8 移動互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計

圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計

本周重要漏洞安全告警

本周，CNVD整理和發(fā)布以下重要安全漏洞信息。

1、Mozilla產(chǎn)品安全漏洞

Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。Mozilla Firefox是一款開源Web瀏覽器。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導(dǎo)致內(nèi)存損壞等。

CNVD收錄的相關(guān)漏洞包括：Mozilla Firefox跨站腳本漏洞(CNVD-2022-36976)、MozillaFirefox欺騙攻擊漏洞、Mozilla Firefox無限循環(huán)漏洞、Mozilla Firefox資源管理錯誤漏洞(CNVD-2022-36980)、MozillaFirefox安全特征問題漏洞、Mozilla Firefox MessageTask資源管理錯誤漏洞、Mozilla Thunderbird信息泄露漏洞(CNVD-2022-36982)、MozillaFirefox信息泄露漏洞(CNVD-2022-36981)。其中，“Mozilla Firefox安全特征問題漏洞”的綜合評級為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36976

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36978

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36977

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36980

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36979

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36983

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36982

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36981

2、IBM產(chǎn)品安全漏洞

IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產(chǎn)品。IBMCloud Pak System是美國IBM公司的一套具有可配置、預(yù)集成軟件的全棧、融合基礎(chǔ)架構(gòu)。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產(chǎn)品。IBMSecurity Guardium Data Encryption是美國IBM公司的一個應(yīng)用軟件。IBM MQ Appliance是美國IBM公司的一款用于快速部署企業(yè)級消息中間件的一體機設(shè)備。IBM Watson Query是美國IBM公司的一個通用查詢引擎。IBM Cloud Pak for Business Automation是美國國際商業(yè)機器公司(IBM)的一組模塊化的集成軟件組件。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞解密敏感信息，枚舉賬戶憑證，導(dǎo)致拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：IBM Robotic Process Automation授權(quán)問題漏洞、IBM Cloud Pak System加密問題漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption(GDE)跨站腳本漏洞、IBMMQ Appliance信息泄露漏洞(CNVD-2022-36975)、IBMMQ Appliance拒絕服務(wù)漏洞(CNVD-2022-36974)、IBMWatson Query with Cloud Pak for Data as a Service權(quán)限提升漏洞、IBM Cloud Pak for Business Automation訪問控制錯誤漏洞。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36971

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36969

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36968

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36967

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36975

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36973

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36972

3、SIEMENS產(chǎn)品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設(shè)計2D、3D場景提供團隊協(xié)作功能的軟件。Desigo PXC4樓宇自動化控制器是為暖通空調(diào)系統(tǒng)控制而設(shè)計的。它是一款緊湊型設(shè)備，內(nèi)置IOs，能夠通過額外的TX-IO模塊擴展到您的需要。Desigo PXC5是一款可自由編程控制器，用于BACnet系統(tǒng)級功能，如報警路由、系統(tǒng)范圍的調(diào)度和趨勢分析，以及設(shè)備監(jiān)控。Desigo DXR2控制器是可編程的自動化站，以支持終端HVAC設(shè)備和TRA(全房間自動化)應(yīng)用的標準控制需求。Desigo PXC3系列自動化站可用于功能性和靈活性要求更高的建筑。SICAM P850多功能測量裝置用于采集、可視化、評估和傳輸電氣測量變量，如交流電、交流電壓、頻率、功率、諧波等。SICAM P855多功能設(shè)備用于收集、顯示和傳輸測量的電氣變量，如交流電流、交流電壓、功率類型、諧波等。根據(jù)電能質(zhì)量標準IEC 61000-4-30收集和處理測量值和事件。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞訪問設(shè)備的管理界面，在當前進程的上下文中執(zhí)行代碼，造成拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：Siemens JT2Go和TeamcenterVisualization雙重釋放漏洞(CNVD-2022-36381)、SiemensJT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXRDevices遠程代碼執(zhí)行漏洞、Siemens Desigo PXC和DXRDevices不受控制資源消耗漏洞、Siemens SICAM P850和SICAMP855 Devices跨站腳本漏洞(CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391)、SiemensSICAM P850和SICAM P855 Devices繞過身份驗證漏洞。上述漏洞的綜合評級為“高?！薄Ｄ壳?，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36379

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36378

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36389

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36393

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36391

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36395

4、Oracle產(chǎn)品安全漏洞

Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。Oracle WebLogic Server是一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件。Oracle MySQL是一套開源的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。MySQL Server是其中的一個數(shù)據(jù)庫服務(wù)器組件。MySQL Connectors是其中的一個連接使用MySQL的應(yīng)用程序的驅(qū)動程序。OracleDatabase Server是一套關(guān)系數(shù)據(jù)庫管理系統(tǒng)。本周，上述產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數(shù)據(jù)，執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括：Oracle Solaris輸入驗證錯誤漏洞(CNVD-2022-36946)、OracleWebLogic Server輸入驗證錯誤漏洞(CNVD-2022-36951)、OracleMySQL InnoDB組件拒絕服務(wù)漏洞、Oracle Database Server輸入驗證錯誤漏洞(CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958)、Oracle MySQL輸入驗證錯誤漏洞(CNVD-2022-36955)。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36946

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36951

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36949

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36954

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36953

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36952

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36958

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36955

5、Delta Electronics DIAEnergieSQL注入漏洞(CNVD-2022-36031)

Delta Electronics DIAEnergie是一個工業(yè)能源管理系統(tǒng)，用于實時監(jiān)控和分析能源消耗、計算能源消耗和負載特性、優(yōu)化設(shè)備性能、改進生產(chǎn)流程并最大限度地提高能源效率。本周，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。目前，廠商尚未發(fā)布上述漏洞的修補程序。CNVD提醒廣大用戶隨時關(guān)注廠商主頁，以獲取最新版本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031

小結(jié)：本周，Mozilla產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，導(dǎo)致內(nèi)存損壞等。此外，IBM、Siemens、Oracle等多款產(chǎn)品被披露存在多個漏洞，攻擊者可利用漏洞讀取和操作數(shù)據(jù)，在當前進程的上下文中執(zhí)行代碼，造成拒絕服務(wù)等。另外，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。建議相關(guān)用戶隨時關(guān)注上述廠商主頁，及時獲取修復(fù)補丁或解決方案。

本周重要漏洞攻擊驗證情況

本周，CNVD建議注意防范以下已公開漏洞攻擊驗證情況。

1、Bludit CMS跨站腳本漏洞

驗證描述

Bludit CMS是一套開源的輕量級博客內(nèi)容管理系統(tǒng)(CMS)。

Bludit CMS v3.13.1版本存在跨站腳本漏洞，該漏洞源于/admin/new-content頁面缺少對于用戶輸入數(shù)據(jù)的過濾和驗證。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。

驗證信息

POC鏈接：

https://github.com/joinia/webray.com.cn/blob/main/Bludit/Bluditreadme.md

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36994

信息提供者

新華三技術(shù)有限公司

注：以上驗證信息(方法)可能帶有攻擊性，僅供安全研究之用。請廣大用戶加強對漏洞的防范工作，盡快下載相關(guān)補丁。

來源：CNVD漏洞平臺