情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞2045个,其中高危漏洞699个,中危漏洞1123个,低危漏洞223个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1651个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | |
1 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-43854、CNVD-2022-43857 CNVD-2022-43856、CNVD-2022-43855 CNVD-2022-44604、CNVD-2022-44607 CNVD-2022-44606、CNVD-2022-44605 CNVD-2022-44609、CNVD-2022-44608 | 本月,Google多款产品存在安全漏洞。攻击者可利用该漏洞导致需要系统执行权限的本地权限升级。本月漏洞包括:Google Android权限提升漏洞(CNVD-2022-43854、CNVD-2022-43857、CNVD-2022-43856、CNVD-2022-43855、CNVD-2022-44604、CNVD-2022-44607、CNVD-2022-44606、CNVD-2022-44605、CNVD-2022-44609、CNVD-2022-44608)等。 |
其他编号 | CVE-2021-39812、CVE-2021-39799 CVE-2021-39797、CVE-2021-39814 CVE-2021-39807、CVE-2021-0694 CVE-2021-0707、CVE-2021-39808 CVE-2021-39706、CVE-2021-0957 | |||
发布时间 | 2022-06-10 | |||
影响产品 | Google Android | |||
2 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-43202、CNVD-2022-43204 CNVD-2022-43203、CNVD-2022-43209 CNVD-2022-43208、CNVD-2022-43206 CNVD-2022-43210、CNVD-2022-43379 CNVD-2022-43383、CNVD-2022-43382 | 本月,Adobe多款产品存在安全漏洞。攻击者可利用该漏洞打开特制的PDF文件,触发释放后重用错误,并在系统上执行任意代码。本月漏洞包括:多款Adobe产品资源管理错误漏洞(CNVD-2022-43202、CNVD-2022-43204、CNVD-2022-43382、CNVD-2022-43209、CNVD-2022-43210、CNVD-2022-43379)、多款Adobe产品越界读取漏洞(CNVD-2022-43203、CNVD-2022-43383、CNVD-2022-43206)、多款Adobe产品堆缓冲区溢出漏洞(CNVD-2022-43208)等。 |
其他编号 | CVE-2022-28240、CVE-2022-28242 CVE-2022-28241、CVE-2022-27797 CVE-2022-28234、CVE-2022-28243 CVE-2022-27799、CVE-2022-27800 CVE-2022-28231、CVE-2022-28230 | |||
发布时间 | 2022-06-04 | |||
影响产品 | Adobe Acrobat Adobe Acrobat 2017 Adobe Acrobat Reader Adobe Acrobat DC (Continuous) Adobe Acrobat Reader DC (Continuous) Adobe Acrobat 2017 Classic 2017(Windows & macOS) Adobe Acrobat 2020 Classic 2020(Windows & macOS) Adobe Acrobat Reader 2020 Classic 2020(Windows & macOS) | |||
3 | Cisco多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-43235、CNVD-2022-43401 CNVD-2022-43399、CNVD-2022-43404 CNVD-2022-43402、CNVD-2022-44686 CNVD-2022-44689、CNVD-2022-44688 CNVD-2022-44703、CNVD-2022-46478 | 本月,Cisco多款产品存在安全漏洞。攻击者可利用该漏洞触发拒绝服务 (DoS) 条件,导致设备重新加载等。本月漏洞包括:Cisco Adaptive Security Appliances Software缓冲区溢出漏洞、Cisco Firepower Threat Defense代码问题漏洞、Cisco Firepower Management Center代码问题漏洞、Cisco Firepower Threat Defense资源管理错误漏洞(CNVD-2022-43404)、Cisco Firepower Threat Defense拒绝服务漏洞(CNVD-2022-43402)、Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞(CNVD-2022-44686、CNVD-2022-44689)、Cisco Adaptive Security Appliance和Firepower Threat Defense权限提升漏洞、Cisco Unified CM和Unified CM SME任意文件写入漏洞、Cisco Embedded Wireless Controller拒绝服务漏洞等。 |
其他编号 | CVE-2022-20737、CVE-2022-20746 CVE-2022-20743、CVE-2022-20767 CVE-2022-20751、CVE-2022-20715 CVE-2022-20760、CVE-2022-20759 CVE-2022-20789、CVE-2022-20622 | |||
发布时间 | 2022-06-13 | |||
影响产品 | Cisco Adaptive Security Appliances Soft Cisco Firepower Threat Defense Cisco Firepower Management Center Cisco Adaptive Security Appliance Cisco Adaptive Security Cisco Unified Communications ManagerCisco Unified Communications ManagerSession Management Edition Cisco Embedded Wireless Controller
| |||
4 | Dell多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-42738、CNVD-2022-42737 CNVD-2022-42740、CNVD-2022-42739 CNVD-2022-42745、CNVD-2022-42744 CNVD-2022-42743、CNVD-2022-42742 CNVD-2022-42747、CNVD-2022-42746 | 本月,Dell多款产品存在安全漏洞。攻击者可利用该漏洞越权访问或者覆盖敏感数据,绕过Dell OpenManage Enterprise的限制,以提升其权限等。本月漏洞包括:Dell Vnx2Oe For File路径遍历漏洞、Dell OpenManage Enterprise权限提升漏洞(CNVD-2022-42737)、DELL EMC AppSync路径遍历漏洞、Dell VNX2 OE for File远程代码执行漏洞(CNVD-2022-42739)、Dell PowerEdge缓冲区溢出漏洞、DELL EMC PowerScale代码问题漏洞、Dell EMC NetWorker信息泄露漏洞(CNVD-2022-42743)、Dell Wyse Device Agent授权问题漏洞、Dell System Update资源管理错误漏洞、Dell EMC Networking X-Series加密问题漏洞等。 |
其他编号 | CVE-2021-36288、CVE-2022-26857 CVE-2022-24424、CVE-2021-36295 CVE-2021-21556、CVE-2021-21563 CVE-2021-21570、CVE-2022-23156 CVE-2021-21529、CVE-2021-21507 | |||
发布时间 | 2022-06-02 | |||
影响产品 | Dell EMC Unity Operating Environment DELL vnxe1600 DELL vnx_vg50 DELL vnx_vg10 DELL vnx8000 DELL vnx7600 DELL vnx5800 DELL vnx5600 DELL vnx5400 DELL vnx5200 DELL OpenManage Enterprise DELL EMC AppSync DELL Dell VNX2 OE for File DELL PowerEdge R640 DELL PowerEdge R740 DELL PowerEdge R740XD DELL PowerEdge R840 DELL PowerEdge R940 DELL PowerEdge R940xa DELL PowerEdge MX740c DELL PowerEdge MX840c Dell EMC PowerScale OneFS Dell EMC NetWorker DELL Wyse Device Agent DELL system update DELL x1008p_firmware DELL x1008p DELL x1026p_firmware DELL x1026p DELL x1052p_firmware DELL x1052p DELL x4012_firmware DELL x4012 DELL r1-2401_firmware | |||
5 | TOTOLINK多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-42730、CNVD-2022-42734 CNVD-2022-42733、CNVD-2022-42732 CNVD-2022-42731、CNVD-2022-47970 CNVD-2022-47969、CNVD-2022-47968 CNVD-2022-47972、CNVD-2022-47971 | 本月,TOTOLINK多款产品存在安全漏洞。攻击者利用该漏洞利用精心设计的POST请求导致拒绝服务(DoS),通过精心制作的请求执行任意命令等。本月漏洞包括:TOTOLINK A3100R缓冲区溢出漏洞、TOTOLINK A3100R setUrlFilterRules函数缓冲区溢出漏洞、TOTOLINK A3100R setportforwarrules函数缓冲区溢出漏洞、TOTOLINK A3100R setParentalRules函数缓冲区溢出漏洞、TOTOLINK A3100R setMacQos函数缓冲区溢出漏洞、多款TotoLink产品命令注入漏洞(CNVD-2022-47970、CNVD-2022-47969、CNVD-2022-47968、CNVD-2022-47972、CNVD-2022-47971)等。 |
其他编号 | CVE-2022-29638、CVE-2022-29642 CVE-2022-29640、CVE-2022-29641 CVE-2022-29643、CVE-2022-26210 CVE-2022-26209、CVE-2022-26208 CVE-2022-26207、CVE-2022-26206 | |||
发布时间 | 2022-06-01 | |||
影响产品 | TOTOLINK A3100R TOTOLINK A800R TOTOLINK A830R TOTOLINK A950RG TOTOLINK A3000RU | |||
6 | Huawei多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-43213、CNVD-2022-43212 CNVD-2022-44616、CNVD-2022-44621 CNVD-2022-44624、CNVD-2022-47649 CNVD-2022-47652、CNVD-2022-47650 CNVD-2022-47655、CNVD-2022-47654 | 本月,Huawei多款产品存在安全漏洞。攻击者可利用该漏洞安装持久和隐秘的引导包或恶意引导加载程序,并获得对设备的未经授权的访问,导致权限提升等。本月漏洞包括:Huawei Emui和Magic UI第三方弹出窗口覆盖漏洞、Huawei Emui配置缺陷漏洞、Huawei HarmonyOS整数溢出漏洞(CNVD-2022-44616)、Huawei HarmonyOS WIFI模块权限提升漏洞、Huawei HarmonyOS DFX模块释放后重用漏洞、Huawei CV81-WDM FW拒绝服务漏洞、HUAWEI HarmonyOS资源管理错误漏洞(CNVD-2022-47652)、HUAWEI HarmonyOS缓冲区溢出漏洞(CNVD-2022-47650)、Huawei FLMG-10授权问题漏洞、Huawei CV81-WDM FW缓冲区溢出漏洞等。 |
其他编号 | CVE-2021-46788、CVE-2021-46789 CVE-2021-37065、CVE-2022-22258 CVE-2022-22252、CVE-2022-29798 CVE-2022-29794、CVE-2021-46786 CVE-2022-22259、CVE-2022-29797 | |||
发布时间 | 2022-06-24 | |||
影响产品 | Huawei EMUI Huawei Magic UI Huawei HarmonyOS Huawei EMUI Huawei CV81-WDM Huawei FLMG-10 Huawei CV81-WDM FW | |||
7 | Siemens多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-45212、CNVD-2022-45209 CNVD-2022-45216、CNVD-2022-45215 CNVD-2022-45214、CNVD-2022-45213 CNVD-2022-45219、CNVD-2022-45218 CNVD-2022-45217、CNVD-2022-45221 | 本月,Siemens多款产品存在安全漏洞。攻击者可利用该漏洞使受影响的应用程序崩溃,从而导致拒绝服务条件,注入任意代码并提升权限等。本月漏洞包括:Siemens Mendix SAML Module跨站脚本漏洞、Siemens Mendix SAML Module XML外部实体引用漏洞、Siemens SINEMA Remote Connect Server命令注入漏洞、Siemens SINEMA Remote Connect Server用户管理错误漏洞、Siemens Xpedition Designer本地权限提升漏洞、Siemens SICAM GridEdge身份验证错误漏洞(CNVD-2022-45216、CNVD-2022-45217)、Siemens SICAM GridEdge资源泄漏漏洞、Siemens SICAM GridEdge来源验证错误漏洞、Siemens EN100 Ethernet module内存损坏漏洞等。 |
其他编号 | CVE-2022-32286、CVE-2022-31465 CVE-2022-30230、CVE-2022-30231 CVE-2022-30937、CVE-2022-32285 CVE-2022-32262、CVE-2022-30228 CVE-2022-30229、CVE-2022-32260 | |||
发布时间 | 2022-06-15 | |||
影响产品 | Siemens Mendix SAML Module (Mendix 7 compatible) Siemens Xpedition Designer Siemens SICAM GridEdge Essential ARM (6MD7881-2AA30) Siemens SICAM GridEdge Essential Intel (6MD7881-2AA40) Siemens SICAM GridEdge Essential with GDS ARM (6MD7881-2AA10) Siemens SICAM GridEdge Essential with GDS Intel (6MD7881-2AA2 Siemens EN100 Ethernet module PROFINET IO variant Siemens EN100 Ethernet module Modbus TCP variant Siemens EN100 Ethernet module IEC 104 variant Siemens EN100 Ethernet module IEC 61850 variant Siemens SINEMA Remote Connect Server | |||
8 | WordPress多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-43220、CNVD-2022-43221 CNVD-2022-44248、CNVD-2022-44246 CNVD-2022-44969、CNVD-2022-46162 CNVD-2022-46464、CNVD-2022-47422 CNVD-2022-48171、CNVD-2022-48381 | 本月,WordPress多款产品存在安全漏洞。攻击者可利用该漏洞执行非法SQL命令注入,将命令注入在CSV文件中,从而导致可能的代码执行等。本月漏洞包括:WordPress插件Donations SQL注入漏洞、WordPress插件Users Ultra SQL注入漏洞、WordPress stopbadbots plugin SQL注入漏洞、WordPress Visual Form Builder plugin CSV注入漏洞、WordPress PS PHPCaptcha WP输入验证错误漏洞、WordPress plugin RSVPMaker SQL注入漏洞、WordPress SpeakOut! Email Petitions plugin SQL注入漏洞、WordPress Nirweb support SQL注入漏洞、WordPress Bestbooks plugin SQL注入漏洞、WordPress Jupiter Theme和JupiterX Core Plugin权限提升漏洞等。 |
其他编号 | CVE-2022-0782、CVE-2022-0769 CVE-2022-0949、CVE-2022-0142 CVE-2019-7412、CVE-2022-1768 CVE-2022-0846、CVE-2022-0781 CVE-2022-0827、CVE-2022-1654 | |||
发布时间 | 2022-06-04 | |||
影响产品 | WordPress Donations WordPress Users Ultra WordPress StopBadBots Plugin WordPress Visual Form Builder Plugin WordPress PS PHPCaptcha WP WordPress RSVPMaker Plugin WordPress SpeakOut! Email Petitions plugin WordPress Nirweb support WordPress Bestbooks plugin WordPress Jupiter Theme WordPress JupiterX Core Plugin | |||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,与前12个月相比,本月操作系统、WEB应用、安全产品漏洞的数量处于高位,网络设备(交换机、路由器等网络端设备)、智能设备(物联网终端设备)、数据库、应用程序漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | Simple Real Estate Portal System SQL注入漏洞 | CNVD-2022-43408 | 2022/6/07 |
2 | IBM Security Guardium弱加密算法漏洞(CNVD-2022-46309) | CNVD-2022-46309 | 2022/6/20 |
3 | Google Android资源管理错误漏洞(CNVD-2022-46287) | CNVD-2022-46287 | 2022/6/20 |
4 | Google Android缓冲区溢出漏洞(CNVD-2022-46293) | CNVD-2022-46293 | 2022/6/20 |
5 | Google Android缓冲区溢出漏洞(CNVD-2022-46301) | CNVD-2022-46301 | 2022/6/20 |
从表2可以看出,本月用户关注的主要是Simple Real Estate Portal System SQL注入漏洞 ,其访问量达到22次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞2045个,与前12个月平均收录数量2084个相比,处于低位;本月高危漏洞699个,与前12个月高危漏洞平均收录数量599个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月24日发布的安全漏洞数量最多,高达231个,主要是因为收录了Adobe、Tenda等多款产品存在的多个漏洞。
