信息安全漏洞周報(2022年第6期)
根據國家信息安全漏洞庫(CNNVD)統計,2022年1月31日至2022年2月6日安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞414個。
接報漏洞情況
本周CNNVD接報漏洞584個,其中信息技術產品漏洞(通用型漏洞)8個,網絡信息系統漏洞(事件型漏洞)5個,漏洞平臺推送漏洞571個。
一、公開漏洞情況
根據國家信息安全漏洞庫(CNNVD)統計,本周新增安全漏洞414個,漏洞新增數量有所下降。從廠商分布來看谷歌公司新增漏洞最多,有55個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達到9.18%。新增漏洞中,超危漏洞39個,高危漏洞177個,中危漏洞158個,低危漏洞40個。相應修復率分別為92.31%、98.31%、98.10%和100.00%。根據補丁信息統計,合計405個漏洞已有修復補丁發布,整體修復率為97.83%。
(一)安全漏洞增長數量情況
本周CNNVD采集安全漏洞414個。
圖1 近五周漏洞新增數量統計圖
(二)安全漏洞分布情況
從廠商分布來看,谷歌公司新增漏洞最多,有55個。各廠商漏洞數量分布如表1所示。
表1 新增安全漏洞排名前五廠商統計表
序號 | 廠商名稱 | 漏洞數量(個) | 所占比例 |
1 | 谷歌 | 55 | 13.29% |
2 | WordPress基金會 | 34 | 8.21% |
3 | 系徽 | 18 | 4.35% |
4 | MariaDB | 9 | 2.17% |
5 | Linux基金會 | 7 | 1.69% |
本周國內廠商漏洞22個,系徽公司漏洞數量最多,有18個。國內廠商漏洞整體修復率為100.00%。請受影響用戶關注廠商修復情況,及時下載補丁修復漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達到9.18%。漏洞類型統計如表2所示。
表2 漏洞類型統計表
序號 | 漏洞類型 | 漏洞數量(個) | 所占比例 |
1 | 跨站腳本 | 38 | 9.18% |
2 | 緩沖區錯誤 | 31 | 7.49% |
3 | 代碼問題 | 24 | 5.80% |
4 | 資源管理錯誤 | 22 | 5.31% |
5 | SQL注入 | 20 | 4.83% |
6 | 輸入驗證錯誤 | 13 | 3.14% |
7 | 跨站請求偽造 | 8 | 1.93% |
8 | 權限許可和訪問控制問題 | 6 | 1.45% |
9 | 路徑遍歷 | 5 | 1.21% |
10 | 操作系統命令注入 | 4 | 0.97% |
11 | 授權問題 | 4 | 0.97% |
12 | 安全特征問題 | 4 | 0.97% |
13 | 信任管理問題 | 4 | 0.97% |
14 | 訪問控制錯誤 | 3 | 0.72% |
15 | 命令注入 | 3 | 0.72% |
16 | 信息泄露 | 2 | 0.48% |
17 | 注入 | 2 | 0.48% |
18 | 后置鏈接 | 1 | 0.24% |
19 | 數字錯誤 | 1 | 0.24% |
20 | 日志信息泄露 | 1 | 0.24% |
21 | 其他 | 218 | 52.66% |
(三)安全漏洞危害等級與修復情況
本周共發布超危漏洞39個,高危漏洞177個,中危漏洞158個,低危漏洞40個。相應修復率分別為92.31%、98.31%、98.10%和100.00%。根據補丁信息統計,合計405個漏洞已有修復補丁發布,整體修復率為97.83%。詳細情況如表3所示。
表3 漏洞危害等級與修復情況
序號 | 危害等級 | 漏洞數量(個) | 修復數量(個) | 修復率 |
1 | 超危 | 39 | 36 | 92.31% |
2 | 高危 | 177 | 174 | 98.31% |
3 | 中危 | 158 | 155 | 98.10% |
4 | 低危 | 40 | 40 | 100.00% |
合計 | 414 | 405 | 97.83% | |
(四)本周重要漏洞實例
本周重要漏洞實例如表4所示。
表4 本期重要漏洞實例
序號 | 漏洞 | 漏洞編號 | 廠商 | 漏洞實例 | 是否修復 | 危害等級 |
類型 | ||||||
1 | SQL注入 | CNNVD-202202-043 | WordPress基金會 | WordPress SQL注入漏洞 | 是 | 超危 |
2 | 命令注入 | CNNVD-202202-126 | Fortinet | Fortinet FortiExtender 命令注入漏洞 | 是 | 高危 |
3 | 授權問題 | CNNVD-202202-134 | IBM | IBM Financial Transaction Manager 授權問題漏洞 | 是 | 高危 |
1. WordPress SQL注入漏洞(CNNVD-202202-043)
WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。
Perfect Survey WordPress plugin 1.5.2之前版本存在SQL注入漏洞,該漏洞源于程序缺少對外部輸入的SQL語句進行驗證,攻擊者可利用該漏洞執行惡意SQL命令。
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:、
https://wpscan.com/vulnerability/c1620905-7c31-4e62-80f5-1d9635be11ad
2. Fortinet FortiExtender 命令注入漏洞(CNNVD-202202-126)
FortinetFortiExtender是美國飛塔(Fortinet)公司的一款無線WAN(廣域網)擴展器設備。
FortinetFortiExtender 7.0.1及之前版本、4.2.3及之前版本、4.1.7及之前版本存在安全漏洞,該漏洞允許經過身份驗證的攻擊者通過CLI命令(包括特殊字符)執行特權shell命令。
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://fortiguard.com/advisory/FG-IR-21-148
3. IBM Financial Transaction Manager 授權問題漏洞(CNNVD-202202-134)
IBM Financial Transaction Manager是美國IBM公司的一款金融事務管理器。該產品主要用于監控、跟蹤和報告金融支付和交易。
IBM Financial Transaction Manager 3.2.4 存在授權問題漏洞,攻擊者可利用該漏洞竊取經過身份驗證的會話內容。
目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6527892
二、漏洞平臺推送情況
本周漏洞平臺推送漏洞571個。
序號 | 漏洞平臺 | 漏洞總量 |
1 | 補天平臺 | 571 |
2 | 漏洞盒子 | 0 |
推送總計 | 571 | |
三、接報漏洞情況
本周CNNVD接報漏洞13個,其中信息技術產品漏洞(通用型漏洞)8個,網絡信息系統漏洞(事件型漏洞)5個。
表5 本周漏洞報送情況
序號 | 報送單位 | 漏洞總量 |
1 | 北京數字觀星科技有限公司 | 8 |
2 | 華為技術有限公司 | 3 |
3 | 北京威努特技術有限公司 | 1 |
4 | 信息工程大學 | 1 |
報送總計 | 13 | |
四、接報漏洞預警情況
本周CNNVD接報漏洞預警2份。
序號 | 報送單位 | 預警總量 |
1 | 北京神州綠盟科技有限公司 | 1 |
2 | 網神信息技術(北京)股份有限公司 | 1 |
報送總計 | 2 | |
