您所在的位置: 首頁 >
安全研究 >
安全通告 >
CNVD漏洞周報(bào)2022年第12期
2022年03月21日-2022年03月27日
本周漏洞態(tài)勢(shì)研判情況
本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。
國家信息安全漏洞共享平臺(tái)(以下簡稱CNVD)本周共收集、整理信息安全漏洞537個(gè),其中高危漏洞180個(gè)、中危漏洞272個(gè)、低危漏洞85個(gè)。漏洞平均分值為5.84。本周收錄的漏洞中,涉及0day漏洞299個(gè)(占56%),其中互聯(lián)網(wǎng)上出現(xiàn)“Pimcore跨站腳本漏洞(CNVD-2022-22702)、CuppaCMSSQL注入漏洞(CNVD-2022-22322)”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)4620個(gè),與上周(4022個(gè))環(huán)比增加15%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)
本周漏洞事件處置情況
本周,CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件33起,向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件88起,協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件756起,協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高??蒲性核到y(tǒng)漏洞事件66起,向國家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件67起。
圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)
圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)
圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)
此外,CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞,具體處置單位情況如下所示:
卓豪(中國)技術(shù)有限公司、珠海金山辦公軟件有限公司、重慶中聯(lián)信息產(chǎn)業(yè)有限責(zé)任公司、正方軟件股份有限公司、浙江多普勒環(huán)保科技有限公司、浙江大華技術(shù)股份有限公司、長沙友點(diǎn)軟件科技有限公司、長沙米拓信息技術(shù)有限公司、友訊電子設(shè)備(上海)有限公司、兄弟(中國)商業(yè)有限公司、新開普電子股份有限公司、暇光軟件科技(上海)有限公司、武漢金同方科技有限公司、武漢烽火信息集成技術(shù)有限公司、溫州互引信息技術(shù)有限公司、微軟(中國)有限公司、臺(tái)達(dá)電子企業(yè)管理(上海)有限公司、索尼(中國)有限公司、四創(chuàng)科技有限公司、四川迅睿云軟件開發(fā)有限公司、四川廣安愛眾股份有限公司、世邦通信股份有限公司、深圳易達(dá)全球電子商務(wù)有限公司、深圳小信科技有限公司、深圳市中控生物識(shí)別技術(shù)有限公司、深圳市西迪特科技有限公司、深圳市網(wǎng)心科技有限公司、深圳市思迅軟件股份有限公司、深圳市雙夢(mèng)科技有限公司、深圳市聚網(wǎng)捷科技有限公司、深圳市吉祥騰達(dá)科技有限公司、深圳市合信自動(dòng)化技術(shù)有限公司、深圳市必聯(lián)電子有限公司、上海卓卓網(wǎng)絡(luò)科技有限公司、上海屹超信息技術(shù)有限公司、上海瑞策軟件有限公司、上海米健信息技術(shù)有限公司、上海美贊美數(shù)碼科技有限公司、上海肯特儀表股份有限公司、上海斐訊數(shù)據(jù)通信技術(shù)有限公司、上海締安科技股份有限公司、上海碧海網(wǎng)絡(luò)科技有限公司、熵基科技股份有限公司、商派軟件有限公司、山洋電氣(上海)貿(mào)易有限公司、山脈科技股份有限公司、山東山大華天軟件有限公司、三星(中國)投資有限公司、賽馬物聯(lián)科技(寧夏)有限公司、青島中瑞汽車服務(wù)有限公司、青島海天煒業(yè)過程控制技術(shù)股份有限公司、麒麟軟件有限公司、普聯(lián)技術(shù)有限公司、寧波慕楓品牌策劃有限公司、南寧安拓軟件有限公司、南京易米云通網(wǎng)絡(luò)科技有限公司、南京埃斯頓自動(dòng)化股份有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、酷溜網(wǎng)(北京)科技有限公司、敬業(yè)集團(tuán)有限公司、江西銘軟科技有限公司、江蘇天瑞儀器股份有限公司、江蘇金智教育信息股份有限公司、濟(jì)南唐豐信息科技有限公司、濟(jì)南愛程網(wǎng)絡(luò)科技有限公司、吉翁電子(深圳)有限公司、合肥圖鴨信息科技有限公司、合肥奇樂網(wǎng)絡(luò)科技有限公司、杭州智源電子有限公司、杭州益仕行信息技術(shù)有限公司、杭州雄偉科技開發(fā)股份有限公司、杭州千家網(wǎng)絡(luò)有限公司、杭州??低晹?shù)字技術(shù)股份有限公司、杭州冠航科技有限公司、杭州飛致云信息科技有限公司、哈爾濱偉成科技有限公司、桂林崇勝網(wǎng)絡(luò)科技有限公司、廣州中望龍騰軟件股份有限公司、廣州添富信息科技有限責(zé)任公司、廣州市穎峰信息科技有限公司、廣州市動(dòng)景計(jì)算機(jī)科技有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣聯(lián)達(dá)科技股份有限公司、廣東卓銳軟件有限公司、觀脈科技(北京)有限公司、福州網(wǎng)鈦軟件科技有限公司、福州木頭軟件有限公司、東芝(中國)有限公司、大唐電信科技股份有限公司、成都星銳藍(lán)海網(wǎng)絡(luò)科技有限公司、成都萬江港利科技股份有限公司、成都同飛科技有限責(zé)任公司、成都傲梅科技有限公司、暢捷通信息技術(shù)股份有限公司、北京字節(jié)跳動(dòng)科技有限公司、北京中新天達(dá)科技有限公司、北京中科網(wǎng)威信息技術(shù)有限公司、北京致遠(yuǎn)互聯(lián)軟件股份有限公司、北京云網(wǎng)聯(lián)科技有限公司、北京云帆互聯(lián)科技有限公司、北京用友融聯(lián)科技有限公司、北京亞控科技發(fā)展有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京網(wǎng)御星云信息技術(shù)有限公司、北京通達(dá)信科科技有限公司、北京碩人時(shí)代科技股份有限公司、北京神州數(shù)碼云科信息技術(shù)有限公司、北京擎企網(wǎng)絡(luò)技術(shù)有限公司、北京派網(wǎng)軟件有限公司、北京獵鷹安全科技有限公司、北京九思協(xié)同軟件有限公司、北京金萬維科技有限公司、北京金和網(wǎng)絡(luò)股份有限公司、北京宏業(yè)超世紀(jì)科技有限公司、北京和信創(chuàng)天科技股份有限公司、北京東方通科技股份有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、北京愛奇藝科技有限公司、北大醫(yī)療信息技術(shù)有限公司、安科瑞電氣股份有限公司、安徽容知日新科技股份有限公司、安徽科威網(wǎng)絡(luò)科技有限公司、安徽富煌科技股份有限公司、阿里巴巴集團(tuán)安全應(yīng)急響應(yīng)中心、涿鹿創(chuàng)夢(mèng)網(wǎng)絡(luò)工作室、新秀工作室、極路由、ZAVIO、yzmcms、The Apache Software Foundation、SonicWALL, Inc.、SeaCMS、Sapido Technology Inc、Realtek SemiconductorCorporation、Optilink Networks、NetSarang、Netis Systems、MuYucms、IRZ、Harbor、Grafana Labs、Geovision、Emlog、Elite Graphix、baigo Studio、Altran Group和Adobe。
本周漏洞報(bào)送情況統(tǒng)計(jì)
本周報(bào)送情況如表1所示。其中,其中,新華三技術(shù)有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團(tuán)股份有限公司、北京神州綠盟科技有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。北京華順信安科技有限公司、杭州默安科技有限公司、山東云天安全技術(shù)有限公司、內(nèi)蒙古洞明科技有限公司、長春嘉誠信息技術(shù)股份有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、墨菲未來科技(北京)有限公司、上海紐盾科技股份有限公司、南京樹安信息技術(shù)有限公司、重慶都會(huì)信息科技有限公司、江蘇保旺達(dá)軟件技術(shù)有限公司、上海天存信息技術(shù)有限公司、山東澤鹿安全技術(shù)有限公司、山東新潮信息技術(shù)有限公司、廣西等保安全測(cè)評(píng)有限公司、河南靈創(chuàng)電子科技有限公司、湖南中測(cè)網(wǎng)安信息技術(shù)有限公司、河南天祺信息安全技術(shù)有限公司、河南信安世紀(jì)科技有限公司、快頁信息技術(shù)有限公司、廣州百蘊(yùn)啟辰科技有限公司、深圳昂楷科技有限公司、蘇州棱鏡七彩信息科技有限公司、國網(wǎng)山東省電力公司、華魯數(shù)智信息技術(shù)(北京)有限公司、南京禾盾信息科技有限公司、上海貝銳信息科技股份有限公司、廈門星舟科技有限公司、北京科技大學(xué)、上海上訊信息技術(shù)股份有限公司、開元華創(chuàng)科技集團(tuán)、中國煙草總公司湖北省公司、武漢非尼克斯軟件技術(shù)有限公司、廣東藍(lán)爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、思而聽網(wǎng)絡(luò)科技有限公司、浙江乾冠信息安全研究院、北京機(jī)沃科技有限公司及其他個(gè)人白帽子向CNVD提交了4620個(gè)以事件型漏洞為主的原創(chuàng)漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信網(wǎng)神(補(bǔ)天平臺(tái))向CNVD共享的白帽子報(bào)送的2193條原創(chuàng)漏洞信息。
表1 漏洞報(bào)送情況統(tǒng)計(jì)表
本周漏洞按類型和廠商統(tǒng)計(jì)
本周,CNVD收錄了537個(gè)漏洞。WEB應(yīng)用245個(gè),應(yīng)用程序141個(gè),網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)77個(gè),智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)28個(gè),操作系統(tǒng)21個(gè),數(shù)據(jù)庫18個(gè),安全產(chǎn)品7個(gè)。
表2 漏洞按影響類型統(tǒng)計(jì)表
圖6 本周漏洞按影響類型分布
CNVD整理和發(fā)布的漏洞涉及WordPress、Foxit、Microsoft等多家廠商的產(chǎn)品,部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。
表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表
本周行業(yè)漏洞收錄情況
本周,CNVD收錄了56個(gè)電信行業(yè)漏洞,9個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞,3個(gè)工控行業(yè)漏洞(如下圖所示)。其中,“Tenda AX1806堆棧溢出漏洞、TP-Link Archer A7安全繞過漏洞”等漏洞的綜合評(píng)級(jí)為“高?!?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序,請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫鏈接。
電信行業(yè)漏洞鏈接:http://telecom.cnvd.org.cn/
移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接:http://mi.cnvd.org.cn/
工控系統(tǒng)行業(yè)漏洞鏈接:http://ics.cnvd.org.cn/
圖7 電信行業(yè)漏洞統(tǒng)計(jì)
圖8 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)
圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)
本周重要漏洞安全告警
本周,CNVD整理和發(fā)布以下重要安全漏洞信息。
1、TP-Link產(chǎn)品安全漏洞
TP-Link TL-WR886N是中國普聯(lián)公司的一款無線路由器。Tp-link TL-WR841N是一款無線路由器。TP-Link TL-WR940N是一款無線路由器。Tp-link AC1750是一款無線路由器。TP-Link Archer C1200是一款無線雙頻Gigabit路由器。TP-Link UE330 USB是端口USB3.0集線器。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞通過望遠(yuǎn)鏡和光電傳感器從設(shè)備上的LED恢復(fù)語音信號(hào),進(jìn)行“螢火蟲”攻擊,使應(yīng)用程序崩潰,在root上下文中執(zhí)行代碼等。
CNVD收錄的相關(guān)漏洞包括:TP-Link TL-WR886N棧溢出漏洞(CNVD-2022-21168)、CNVD-2022-21167)、Tp-link TL-WR841N信任管理問題漏洞、TP-Link TL-WR940N緩沖區(qū)溢出漏洞、TP-Link AC1750輸入驗(yàn)證錯(cuò)誤漏洞、TP-Link Archer C1200跨站腳本漏洞(CNVD-2022-21173)、TP-LinkUE330 USB信息泄露漏洞、TP-Link Archer A7 AC1750命令注入漏洞。其中,除“TP-Link Archer C1200跨站腳本漏洞(CNVD-2022-21173)、TP-LinkUE330 USB信息泄露漏洞”外,其余漏洞的綜合評(píng)級(jí)為“高危”。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21168
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21167
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21171
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21170
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21169
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21173
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21172
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21176
2、Adobe產(chǎn)品安全漏洞
Adobe Photoshop是美國奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe After Effects是一套視覺效果和動(dòng)態(tài)圖形制作軟件。Adobe Illustrator是一套基于向量的圖像制作軟件。Adobe Commerce在單一平臺(tái)上為B2B和B2C客戶構(gòu)建多渠道商務(wù)體驗(yàn)。Adobe Acrobat Reader Dc是一個(gè)Pdf閱讀工具。用于可靠查看、打印和注釋Pdf文檔。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞導(dǎo)致當(dāng)前用戶上下文中的內(nèi)存泄漏,在當(dāng)前用戶的上下文中執(zhí)行任意代碼等。
CNVD收錄的相關(guān)漏洞包括:Adobe Photoshop越界讀取漏洞(CNVD-2022-22097)、AdobeAfter Effects緩沖區(qū)溢出漏洞(CNVD-2022-22096、CNVD-2022-22095、CNVD-2022-22099)、AdobeAfter Effects越界寫入漏洞(CNVD-2022-22094)、AdobeIllustrator緩沖區(qū)溢出漏洞(CNVD-2022-22098)、AdobeCommerce輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-22100)、AdobeAcrobat Reader Dc緩沖區(qū)溢出漏洞(CNVD-2022-22658)。其中,除“Adobe Photoshop越界讀取漏洞(CNVD-2022-22097)”外,其余漏洞的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22097
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22096
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22095
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22094
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22099
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22098
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22100
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22658
3、Google產(chǎn)品安全漏洞
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。本周,上述產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,提升本地權(quán)限,造成應(yīng)用拒絕服務(wù),本地權(quán)限提升等。
CNVD收錄的相關(guān)漏洞包括:Google Android權(quán)限提升漏洞(CNVD-2022-22949、CNVD-2022-22950、CNVD-2022-22953、CNVD-2022-22952、CNVD-2022-22956、CNVD-2022-22955)、Google Android信息泄露漏洞、Google Android拒絕服務(wù)漏洞。其中,“Google Android權(quán)限提升漏洞(CNVD-2022-22949、CNVD-2022-22953、CNVD-2022-22956)”的綜合評(píng)級(jí)為“高?!?。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22949
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22951
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22950
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22953
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22952
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22956
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22955
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22954
4、Foxit產(chǎn)品安全漏洞
Foxit PDF Reader是中國福昕(Foxit)公司的一款PDF閱讀器。本周,上述產(chǎn)品被披露存在資源管理錯(cuò)誤漏洞,攻擊者可利用漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
CNVD收錄的相關(guān)漏洞包括:Foxit PDF Reader資源管理錯(cuò)誤漏洞(CNVD-2022-22730、CNVD-2022-22729、CNVD-2022-22731、CNVD-2022-22734、CNVD-2022-22736、CNVD-2022-22735、CNVD-2022-22738、CNVD-2022-22740)。目前,廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新,避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22730
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22729
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22731
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22734
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22736
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22735
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22738
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22740
5、TOTOLINK A3100R命令注入漏洞(CNVD-2022-21549)
Totolink A3100R是中國Totolink公司的一系列無線路由器。本周,TOTOLINK A3100R被披露存在命令注入漏洞。攻擊者可利用該漏洞發(fā)送特殊的命令數(shù)據(jù)實(shí)現(xiàn)命令注入。目前,廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁,以獲取最新版本。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-21549
小結(jié):本周,TP-Link產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞通過望遠(yuǎn)鏡和光電傳感器從設(shè)備上的LED恢復(fù)語音信號(hào),進(jìn)行“螢火蟲”攻擊,使應(yīng)用程序崩潰,在root上下文中執(zhí)行代碼等。此外,Adobe、Google、Foxit等多款產(chǎn)品被披露存在多個(gè)漏洞,攻擊者可利用漏洞獲取敏感信息,提升本地權(quán)限,造成應(yīng)用拒絕服務(wù),在當(dāng)前用戶的上下文中執(zhí)行任意代碼。另外,TOTOLINK A3100R被披露存在命令注入漏洞。攻擊者可利用該漏洞發(fā)送特殊的命令數(shù)據(jù)實(shí)現(xiàn)命令注入。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁,及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。
本周重要漏洞攻擊驗(yàn)證情況
本周,CNVD建議注意防范以下已公開漏洞攻擊驗(yàn)證情況。
1、CuppaCMS SQL注入漏洞(CNVD-2022-22322)
驗(yàn)證描述
CuppaCMS是一套內(nèi)容管理系統(tǒng)(CMS)。
CuppaCMS存在SQL注入漏洞,該漏洞源于基于數(shù)據(jù)庫的應(yīng)用缺少對(duì)外部輸入SQL語句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令。
驗(yàn)證信息
POC鏈接:
https://github.com/CuppaCMS/CuppaCMS/issues/13
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-22322
信息提供者
新華三技術(shù)有限公司
注:以上驗(yàn)證信息(方法)可能帶有攻擊性,僅供安全研究之用。請(qǐng)廣大用戶加強(qiáng)對(duì)漏洞的防范工作,盡快下載相關(guān)補(bǔ)丁。
原文來源:CNVD漏洞平臺(tái)