情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞2066个,其中高危漏洞730个,中危漏洞998个,低危漏洞338个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1613个。
1.本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-50272、 CNVD-2022-50274 CNVD-2022-50280、 CNVD-2022-52264 CNVD-2022-52265、 CNVD-2022-52268 CNVD-2022-52267、 CNVD-2022-52271 CNVD-2022-52270、 CNVD-2022-53367 | 本月,Google多款产品存在安全漏洞。攻击者可利用该漏洞提升权限,使用解析代码中的错误来远程使调制解调器崩溃。本月漏洞包括:Google Android权限提升漏洞(CNVD-2022-50272、CNVD-2022-50274、CNVD-2022-50280、CNVD-2022-52264、CNVD-2022-52265、CNVD-2022-52268、CNVD-2022-52267、CNVD-2022-52271、CNVD-2022-52270)、Google Android缓冲区溢出漏洞(CNVD-2022-53367)等。 | |
其他编号 | CVE-2022-20153、CVE-2022-20156 CVE-2022-20233、CVE-2022-20133 CVE-2022-20135、CVE-2022-20142 CVE-2022-20138、CVE-2022-20141 CVE-2022-20005、 CVE-2022-20210 | ||||
发布时间 | 2022-07-19 | ||||
影响产品 | Google Android kernel Google Android Google Android Soc | ||||
2 | Cisco多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-50625、CNVD-2022-50628CNVD-2022-50627、CNVD-2022-50626CNVD-2022-50631、CNVD-2022-50630CNVD-2022-50668、CNVD-2022-54326CNVD-2022-54329、CNVD-2022-54327 | 本月,Cisco多款产品存在安全漏洞。攻击者可利用该漏洞读取主机上的任意文件,获取敏感信息,通过特制请求执行任意代码或导致设备意外重启,从而导致拒绝服务等。本月漏洞包括:Cisco Unified Communications Manager任意文件读取漏洞(CNVD-2022-50625、CNVD-2022-50631)、Cisco Unified Communications Manager跨站脚本漏洞(CNVD-2022-50628)、Cisco Unified Communications Manager和Cisco Unity Connection信息泄露漏洞、Cisco Unified Communications Manager访问控制错误漏洞、Cisco Unified Communications Manager跨站脚本漏洞(CNVD-2022-50630)、Cisco Secure Network Analytics远程代码执行漏洞、Cisco Small Business缓冲区溢出漏洞(CNVD-2022-54326、CNVD-2022-54329、CNVD-2022-54327)等。 | |
其他编号 | CVE-2022-20791、CVE-2022-20800 CVE-2022-20752、CVE-2022-20859 CVE-2022-20862、CVE-2022-20815 CVE-2022-20797、CVE-2022-20896 CVE-2022-20895、CVE-2022-20892 | ||||
发布时间 | 2022-07-08 | ||||
影响产品 | Cisco Unified Communications Manager Cisco Unity Connection Cisco Secure Network Analytics Cisco RV215W Cisco RV130W Cisco RV130 Cisco RV110W | ||||
3 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-48775、 CNVD2022-48774 CNVD-2022-48778、 CNVD-2022-48776 CNVD-2022-48779、 CNVD-2022-48784 CNVD-2022-50224、 CNVD-2022-50232 CNVD-2022-50231、 CNVD-2022-50230 | 本月,Adobe多款产品存在安全漏洞。攻击者利用该漏洞在当前用户的上下文中执行任意代码。本月漏洞包括:Adobe Bridge内存错误引用漏洞、Adobe Bridge输入验证错误漏洞、Adobe Bridge越界写入漏洞(CNVD-2022-48774、CNVD-2022-48778、CNVD-2022-48779、CNVD-2022-50224)、Adobe InCopy越界写入漏洞(CNVD-2022-48784、CNVD-2022-50232、CNVD-2022-50231、CNVD-2022-50230)等。 | |
其他编号 | CVE-2022-28842、 CVE-2022-28839 CVE-2022-28844、 CVE-2022-28841 CVE-2022-28840、 CVE-2022-30656 CVE-2022-28843、 CVE-2022-30651 CVE-2022-30652、 CVE-2022-30653 | ||||
发布时间 | 2022-07-01 | ||||
影响产品 | Adobe Bridge Adobe InCopy | ||||
4 | Siemens多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-51608、 CNVD2022-51611 CNVD-2022-51613、 CNVD-2022-51619 CNVD-2022-51618、 CNVD-2022-51623 CNVD-2022-51622、 CNVD-2022-51621 CNVD-2022-51625、 CNVD-2022-51624 | 本月,Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码。本月漏洞包括:Siemens PADS Standard/Plus Viewer越界写入漏洞(CNVD-2022-51608、CNVD-2022-51624、CNVD-2022-51611、CNVD-2022-51613、CNVD-2022-51623、CNVD-2022-51622、CNVD-2022-51621)、Siemens PADS Standard/Plus Viewer越界读取漏洞(CNVD-2022-51619、CNVD-2022-51618、CNVD-2022-51625)等。 | |
其他编号 | CVE-2022-34289、 CVE-2022-34286 CVE-2022-34284、 CVE-2022-34278 CVE-2022-34279、 CVE-2022-34274 CVE-2022-34275、 CVE-2022-34276 CVE-2022-34272、 CVE-2022-34273 | ||||
发布时间 | 2022-07-15 | ||||
影响产品 | Siemens PADS Standard/Plus Viewer | ||||
5 | IBM多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-48940、 CNVD2022-48944 CNVD-2022-48941、 CNVD-2022-51652 CNVD-2022-51656、 CNVD-2022-51655 CNVD-2022-51654、 CNVD-2022-51653 CNVD-2022-51660、 CNVD-2022-51657 | 本月,IBM多款产品存在安全漏洞。攻击者可利用该漏洞绕过安全限制,导致未经授权的修改,拒绝服务攻击等。本月漏洞包括:IBM Cognos Controller授权问题漏洞(CNVD-2022-48940、CNVD-2022-48941)、IBM AIX拒绝服务漏洞(CNVD-2022-48944)、IBM DB2信息泄露漏洞(CNVD-2022-51656)、IBM DB2拒绝服务漏洞(CNVD-2022-51655)、IBM Jazz Team Server服务器端请求伪造漏洞(CNVD-2022-51652、CNVD-2022-51654)、IBM Jazz Team Server信息泄露漏洞(CNVD-2022-51653、CNVD-2022-51660)、IBM Jazz Team Server点击劫持漏洞等。 | |
其他编号 | CVE-2020-4879、 CVE-2022-22351 CVE-2020-4877、 CVE-2021-20544 CVE-2022-22390、 CVE-2022-22389 CVE-2021-20421、 CVE-2021-20355 CVE-2021-38879、 CVE-2021-29865 | ||||
发布时间 | 2022-07-15 | ||||
影响产品 | IBM AIX IBM DB2 IBM Cognos Controller IBM Jazz Team Server | ||||
6 | Huawei多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-50634、 CNVD2022-52823 CNVD-2022-52822、 CNVD-2022-52826 CNVD-2022-52825、 CNVD-2022-52824 CNVD-2022-53575、 CNVD-2022-53574 CNVD-2022-53577、 CNVD-2022-53576 | 本月,Huawei多款产品存在安全漏洞。攻击者利用该漏洞导致堆溢出,设备崩溃,AI服务出现异常,AI业务受到影响等。本月漏洞包括:HUAWEI HarmonyOS信息泄露漏洞(CNVD-2022-50634)、HUAWEI HarmonyOS缓冲区溢出漏洞(CNVD-2022-52823)、Huawei Emui和Honor Magic Ui缓冲区溢出漏洞(CNVD-2022-52826)、Huawei HarmonyOS定制框架授权问题漏洞、HUAWEI HarmonyOS指纹模块缓冲区溢出漏洞、HUAWEI HarmonyOS拒绝服务漏洞(CNVD-2022-53575、CNVD-2022-52822、CNVD-2022-53574、CNVD-2022-53576)、HUAWEI HarmonyOS权限控制错误漏洞等。 | |
其他编号 | CVE-2022-29792、 CVE-2022-34743 CVE-2022-34735、 CVE-2020-9144 CVE-2022-22257、 CVE-2022-34739 CVE-2022-29791、 CVE-2022-29796 CVE-2021-46787、 CVE-2022-29789 | ||||
发布时间 | 2022-07-21 | ||||
影响产品 | Huawei EMUI Huawei HarmonyOS Huawei Magic UI | ||||
7 | SAP多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-50935、 CNVD-2022-50934 CNVD-2022-50937、 CNVD-2022-50936 CNVD-2022-50940、 CNVD-2022-50939 CNVD-2022-50938、 CNVD-2022-50942 CNVD-2022-50941、 CNVD-2022-50943 | 本月,SAP多款产品存在安全漏洞。攻击者可利用该漏洞绕过系统的根磁盘访问限制,在系统磁盘根路径上写入或创建程序文件,并提升应用程序的权限,导致应用程序崩溃并且用户暂时无法使用,直到重新启动应用程序。本月漏洞包括:SAP 3D Visual Enterprise Viewer输入验证错误漏洞(CNVD-2022-50935、CNVD-2022-50934、CNVD-2022-50937、CNVD-2022-50936、CNVD-2022-50940、CNVD-2022-50939、CNVD-2022-50938、CNVD-2022-50942、CNVD-2022-50941)、SAP PowerDesigner代码问题漏洞等。 | |
其他编号 | CVE-2022-32241、 CVE-2022-32240 CVE-2022-32243、 CVE-2022-32242 CVE-2022-32237、 CVE-2022-32236 CVE-2022-32235、 CVE-2022-32239 CVE-2022-32238、 CVE-2022-31590 | ||||
发布时间 | 2022-07-12 | ||||
影响产品 | SAP 3D Visual Enterprise Viewer SAP PowerDesigner Proxy | ||||
8 | Fortinet多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-50945、 CNVD-2022-50944 CNVD-2022-50950、 CNVD-2022-50949 CNVD-2022-50948、 CNVD-2022-50947 CNVD-2022-50953、 CNVD-2022-50952 CNVD-2022-50955、 CNVD-2022-50954 | 本月,Fortinet多款产品存在安全漏洞。攻击者可利用该漏洞检索任意文件,向受影响的应用程序发送特制请求,并在应用程序数据库中执行任意SQL命令等。本月漏洞包括:Fortinet FortiOS访问控制错误漏洞(CNVD-2022-50945)、Fortinet FortiNAC SQL注入漏洞、Fortinet FortiGate跨站脚本漏洞(CNVD-2022-50950)、Fortinet FortiSOAR访问控制错误漏洞、Fortinet FortiProxy SSL VPN跨站脚本漏洞、Fortinet FortiOS信息泄露漏洞(CNVD-2022-50947)、Fortinet FortiWLM SQL注入漏洞(CNVD-2022-50953)、Fortinet FortiWLM路径遍历漏洞、Fortinet FortiPortal安全特征问题漏洞、Fortinet FortiGate输入验证错误漏洞等。 | |
其他编号 | CVE-2021-41032、 CVE-2022-26116 CVE-2021-26092、 CVE-2022-23443 CVE-2021-43081、 CVE-2021-43206 CVE-2021-43077、 CVE-2021-43070 CVE-2021-36171、 CVE-2020-15936 | ||||
发布时间 | 2022-07-12 | ||||
影响产品 | Fortinet FortiOS Fortinet FortiWLM Fortinet FortiNAC Fortinet FortiGate Fortinet FortiSOAR Fortinet FortiProxy Fortinet FortiPortal Fortinet FortiProxy SSL VPN | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月操作系统、数据库、网络设备(交换机、路由器等网络端设备)的数量处于高位,WEB应用、应用程序、安全产品、智能设备(物联网终端设备)漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | Cybozu Garoon授权问题漏洞(CNVD-2022-54300) | CNVD-2022-54300 | 2022/7/27 |
2 | WordPress Add Post URL plugin跨站请求伪造漏洞 | CNVD-2022-54337 | 2022/7/29 |
3 | Jenkins eXtreme Feedback Panel Plugin跨站脚本漏洞 | CNVD-2022-53899 | 2022/7/28 |
4 | WordPress HTML2WP plugin跨站请求伪造漏洞 | CNVD-2022-54361 | 2022/7/29 |
5 | WordPress Brizy plugin跨站脚本漏洞(CNVD-2022-54353) | CNVD-2022-54353 | 2022/7/29 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是Cybozu Garoon授权问题漏洞(CNVD-2022-54300),其访问量达到577次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞2066个,与前12个月平均收录数量2053个相比,处于高位;本月高危漏洞730个,与前12个月高危漏洞平均收录数量595个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月29日发布的安全漏洞数量最多,高达285个,主要是因为收录了WordPress、Oracle等多款产品存在的多个漏洞。
