信息安全漏洞周报(2022年第15期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2022年4月4日至2022年4月10日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞474个。
接报漏洞情况
本周CNNVD接报漏洞1105个,其中信息技术产品漏洞(通用型漏洞)35个,网络信息系统漏洞(事件型漏洞)385个,漏洞平台推送漏洞685个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞474个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有27个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到8.44%。新增漏洞中,超危漏洞12个,高危漏洞91个,中危漏洞351个,低危漏洞20个。相应修复率分别为75.00%、76.92%、68.38%和95.00%。根据补丁信息统计,合计338个漏洞已有修复补丁发布,整体修复率为71.31%。
(一)安全漏洞增长数量情况
本周CNNVD采集安全漏洞474个。
图1 近五周漏洞新增数量统计图
(二)安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有27个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | WordPress基金会 | 27 | 5.70% |
2 | 高通 | 27 | 5.70% |
3 | Bentley Systems | 19 | 4.01% |
4 | 谷歌 | 17 | 3.59% |
5 | Fortinet | 13 | 2.74% |
本周国内厂商漏洞54个,友讯公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为38.89%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到8.44%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 跨站脚本 | 40 | 8.44% |
2 | 缓冲区错误 | 22 | 4.64% |
3 | 代码问题 | 13 | 2.74% |
4 | 资源管理错误 | 13 | 2.74% |
5 | SQL注入 | 11 | 2.32% |
6 | 输入验证错误 | 11 | 2.32% |
7 | 权限许可和访问控制问题 | 10 | 2.11% |
8 | 信息泄露 | 9 | 1.90% |
9 | 代码注入 | 9 | 1.90% |
10 | 访问控制错误 | 6 | 1.27% |
11 | 跨站请求伪造 | 5 | 1.05% |
12 | 授权问题 | 5 | 1.05% |
13 | 安全特征问题 | 4 | 0.84% |
14 | 路径遍历 | 2 | 0.42% |
15 | 信任管理问题 | 2 | 0.42% |
16 | 加密问题 | 2 | 0.42% |
17 | 配置错误 | 2 | 0.42% |
18 | 操作系统命令注入 | 1 | 0.21% |
19 | 环境问题 | 1 | 0.21% |
20 | 其他 | 306 | 64.56% |
(三)安全漏洞危害等级与修复情况
本周共发布超危漏洞12个,高危漏洞91个,中危漏洞351个,低危漏洞20个。相应修复率分别为75.00%、76.92%、68.38%和95.00%。根据补丁信息统计,合计338个漏洞已有修复补丁发布,整体修复率为71.31%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
1 | 超危 | 12 | 9 | 75.00% |
2 | 高危 | 91 | 70 | 76.92% |
3 | 中危 | 351 | 240 | 68.38% |
4 | 低危 | 20 | 19 | 95.00% |
合计 | 474 | 338 | 71.31% |
(四)本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号 | 漏洞 | 漏洞编号 | 厂商 | 漏洞实例 | 是否修复 | 危害等级 |
类型 | ||||||
1 | 其他 | CNNVD-202204-2713 | 戴尔 | Dell Technologies Dell PowerScale OneFS 安全漏洞 | 是 | 超危 |
2 | 授权问题 | CNNVD-202204-2544 | VMware | Vmware Workspace One Access 授权问题漏洞 | 是 | 高危 |
3 | 代码问题 | CNNVD-202204-1907 | WordPress基金会 | WordPress plugin Library File Manager 代码问题漏洞 | 是 | 高危 |
1. Dell TechnologiesDell PowerScale OneFS 安全漏洞(CNNVD-202204-2713)
Dell Technologies Dell PowerScale OneFS是美国DellTechnologies公司的一个操作系统。提供横向扩展NAS的PowerScaleOneFS操作系统。
Dell PowerScale OneFS 8.2.2-9.3.x 存在安全漏洞,无特权的网络攻击者可能会利用此漏洞导致目标服务器数据丢失。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/kbdoc/en-us/000197991/dell-emc-powerscale-onefs-security-update-for-multiple-component-vulnerabilities
2. Vmware Workspace One Access 授权问题漏洞(CNNVD-202204-2544)
Vmware WorkspaceOne Access是美国Vmware公司的一款产品,它将用户身份与设备和网络信息等因素结合起来,为 Workspace One 交付的应用程序制定智能驱动的条件访问决策。
Vmware WorkspaceOne Access存在授权问题漏洞,该漏洞是由于 OAuth2 ACS 框架中存在错误。远程攻击者可以绕过身份验证过程对应用程序进行访问。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://www.vmware.com/security/advisories/VMSA-2022-0011.html
3. WordPress plugin Library File Manager 代码问题漏洞(CNNVD-202204-1907)
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。
WordPress plugin Library File Manager存在代码问题漏洞,该漏洞在其连接器AJAX操作中没有任何授权和CSRF检查,允许任何经过身份验证的用户调用它执行代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/997a7fbf-98c6-453e-ad84-75c1e91d5a1e
二、漏洞平台推送情况
本周漏洞平台推送漏洞685个。
序号 | 漏洞平台 | 漏洞总量 |
1 | 补天平台 | 385 |
2 | 漏洞盒子 | 300 |
推送总计 | 685 |
三、接报漏洞情况
本周CNNVD接报漏洞420个,其中信息技术产品漏洞(通用型漏洞)35个,网络信息系统漏洞(事件型漏洞)385个。
表5 本周漏洞报送情况
序号 | 报送单位 | 漏洞总量 |
1 | 北京山石网科信息技术有限公司 | 138 |
2 | 西安四叶草信息技术有限公司 | 120 |
3 | 道普信息技术有限公司 | 109 |
4 | 成都忆享科技有限公司 | 18 |
5 | 北京奇虎科技有限公司 | 10 |
6 | 北京天融信网络安全技术有限公司 | 5 |
7 | 国防科技大学 | 5 |
8 | 厦门服云信息科技有限公司 | 4 |
9 | 杭州安恒信息技术股份有限公司 | 3 |
10 | 北京娜迦信息科技发展有限公司 | 2 |
11 | 深信服科技股份有限公司 | 2 |
12 | 北京华云安信息技术有限公司 | 1 |
13 | 京东安全 (京东安全星辰实验室) | 1 |
14 | 南京禾盾信息科技有限公司 | 1 |
15 | 山东新潮信息技术有限公司 | 1 |
报送总计 | 420 |
四、接报漏洞通报情况
本周CNNVD接报漏洞预警65份。
序号 | 报送单位 | 预警总量 |
1 | 深信服科技股份有限公司 | 15 |
2 | 杭州迪普科技股份有限公司 | 12 |
3 | 北京华云安信息技术有限公司 | 11 |
4 | 成都典安科技有限公司 | 5 |
5 | 烽台科技(北京)有限公司 | 5 |
6 | 长春嘉诚信息技术股份有限公司 | 3 |
7 | 北京机沃科技有限公司 | 2 |
8 | 北京数字观星科技有限公司 | 2 |
9 | 北京知道创宇信息技术股份有限公司 | 2 |
10 | 北京海泰方圆科技股份有限公司 | 1 |
11 | 北京华顺信安科技有限公司 | 1 |
12 | 北京奇虎科技有限公司 | 1 |
13 | 北京山石网科信息技术有限公司 | 1 |
14 | 恒安嘉新(北京)科技股份公司 | 1 |
15 | 南京禾盾信息科技有限公司 | 1 |
16 | 上海安识网络科技有限公司 | 1 |
17 | 新华三技术有限公司 | 1 |
报送总计 | 65 |