情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:收集整理信息安全漏洞2271个,其中高危漏洞743个,中危漏洞1222个,低危漏洞306个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1893个。1.本月漏洞信息1.1重要漏洞信息本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-54476、 CNVD-2022-54475 CNVD-2022-54474、 CNVD-2022-58404 CNVD-2022-57605、 CNVD-2022-57609 CNVD-2022-58398、 CNVD-2022-58403 CNVD-2022-60667、 CNVD-2022-60679 | 本月,Google多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息,导致本地权限提升,而无需额外的执行权限等。本月漏洞包括:Google Android信息泄露漏洞(CNVD-2022-54476、CNVD-2022-54475、CNVD-2022-58404)、Google Android权限提升漏洞(CNVD-2022-54474、CNVD-2022-57605)、Google Android远程代码执行漏洞(CNVD-2022-57609)、Google Android Modem组件拒绝服务漏洞、Google Android代码执行漏洞(CNVD-2022-58403)、Google Chrome Intents安全绕过漏洞、Google Chrome FedCM代码执行漏洞等。 | |
其他编号 | CVE-2021-0989、 CVE-2021-1006 CVE-2022-20192、 CVE-2022-20177 CVE-2022-20220、 CVE-2022-20229 CVE-2022-20181、 CVE-2022-20164、 CVE-2022-2856、 CVE-2022-2852 | ||||
发布时间 | 2022-08-01 | ||||
影响产品 | Google Android Google Chrome | ||||
2 | IBM多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-54640、 CNVD-2022-54642 CNVD-2022-54646、 CNVD-2022-54649 CNVD-2022-54888、 CNVD-2022-54979 CNVD-2022-55629、 CNVD-2022-55664 CNVD-2022-56968、 CNVD-2022-56971 | 本月,IBM多款产品存在安全漏洞。攻击者可利用该漏洞发送特殊的SQL语句查看、添加、修改或删除后端数据库中的信息,上传任意文件,导致任意命令执行等。本月漏洞包括:IBM CICS TX Standard and Advanced操作系统命令注入漏洞、IBM Cognos Analytics文件上传漏洞、IBM Financial Transaction Manager for Digital Payments SQL注入漏洞、IBM Curam Social Program Management代码问题漏洞(CNVD-2022-54649)、IBM Security Verify Information Queue信息泄露漏洞(CNVD-2022-54888)、IBM InfoSphere Information Server SQL注入漏洞(CNVD-2022-54979)、IBM PowerVM VIOS拒绝服务漏洞、IBM Spectrum Protect Operations Center暴力破解漏洞、IBM CICS TX跨站请求伪造漏洞、IBM DataPower Gateway服务器端请求伪造漏洞(CNVD-2022-56971)等。 | |
其他编号 | CVE-2022-31767、 CVE-2021-38945、 CVE-2019-4575、 CVE-2022-22317、 CVE-2022-35284、 CVE-2022-31768 CVE-2022-35643、 CVE-2022-22485 CVE-2022-34161、 CVE-2022-31776 | ||||
发布时间 | 2022-08-02 | ||||
影响产品 | IBM CICS TX Standard and Advanced IBM Cognos Analytics IBM Curam Social Program Management IBM Security Verify Information Queue IBM InfoSphere Information Server IBM PowerVM VIOS IBM Spectrum Protect Operations Center IBM DataPower Gateway IBM datapower gateway continuous delivery IBM Financial Transaction Manager | ||||
3 | Oracle多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-54629、 CNVD-2022-54632 CNVD-2022-54631、 CNVD-2022-54630 CNVD-2022-54637、 CNVD-2022-54635 CNVD-2022-54634、 CNVD-2022-54633 CNVD-2022-54638、 CNVD-2022-54961 | 本月,Oracle多款产品存在安全漏洞。攻击者利用该漏洞通过HTTP进行网络访问,从而导致对Enterprise Manager Base Platform可访问数据的更新、插入或删除,导致MySQL Server挂起或崩溃等。本月漏洞包括:Oracle Solaris拒绝服务漏洞(CNVD-2022-54629、CNVD-2022-54630)、Oracle ZFS Storage Appliance输入验证错误漏洞、Oracle Solaris输入验证错误漏洞(CNVD-2022-54631)、Oracle Enterprise Manager Base Platform输入验证错误漏洞、Oracle Financial Services Applications输入验证错误漏洞、Oracle WebLogic Server Core组件输入验证错误漏洞、Oracle Essbase信息泄露漏洞、Oracle MySQL Cluster输入验证错误漏洞(CNVD-2022-54638)、Oracle MySQL输入验证错误漏洞(CNVD-2022-54961)等。 | |
其他编号 | CVE-2022-21524、 CVE-2022-21513、 CVE-2022-21514、 CVE-2022-21533 CVE-2022-21516、 CVE-2022-21585 CVE-2022-21548、 CVE-2022-21508 CVE-2022-21519、 CVE-2022-21531 | ||||
发布时间 | 2022-08-02 | ||||
影响产品 | Oracle Solaris Oracle ZFS Storage Appliance Kit Oracle Enterprise Manager Base Platform Oracle Banking Trade Finance Oracle WebLogic Server Oracle Essbase Oracle MySQL Cluster Oracle MySQL Server | ||||
4 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-54889、 CNVD-2022-54895 CNVD-2022-54912、 CNVD-2022-55502 CNVD-2022-55642、 CNVD-2022-55645 CNVD-2022-55644、 CNVD-2022-55647 CNVD-2022-56090、 CNVD-2022-56092 | 本月,Adobe多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码。本月漏洞包括:Adobe Acrobat Reader缓冲区溢出漏洞(CNVD-2022-54889)、Adobe InDesign缓冲区溢出漏洞(CNVD-2022-54895、CNVD-2022-55645、CNVD-2022-55647)、Adobe Character Animator缓冲区溢出漏洞(CNVD-2022-54912)、Adobe InCopy Font解析堆溢出漏洞、Adobe InCopy缓冲区溢出漏洞(CNVD-2022-55642、CNVD-2022-55644)、Adobe Acrobat和Adobe Reader资源管理错误漏洞(CNVD-2022-56090、CNVD-2022-56092)等。 | |
其他编号 | CVE-2022-35672、CVE-2022-34245 CVE-2022-34241、CVE-2022-34249 CVE-2022-34250、CVE-2022-34246 CVE-2022-34251、CVE-2022-34247 CVE-2022-34221、CVE-2022-34230 | ||||
发布时间 | 2022-08-02 | ||||
影响产品 | Adobe Acrobat Reader Adobe acrobat classic Adobe acrobat reader dc continuous Adobe Acrobat DC Continuous Adobe acrobat reader classic Adobe Character Animator Adobe InCopy Adobe InDesign | ||||
5 | Cisco多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-54909、 CNVD-2022-54959 CNVD-2022-54958、 CNVD-2022-54960 CNVD-2022-55147、 CNVD-2022-55145 CNVD-2022-55150、 CNVD-2022-55148 CNVD-2022-55682、 CNVD-2022-56085 | 本月,Cisco多款产品存在安全漏洞。攻击者可利用该漏洞伪造用户身份,发送恶意请求,导致提升权限等。本月漏洞包括:Cisco Nexus Dashboard访问控制错误漏洞、Cisco Nexus Dashboard权限提升漏洞(CNVD-2022-54958、CNVD-2022-54959)、Cisco Nexus Dashboard操作系统命令注入漏洞、Cisco IOS XE AVC-FNF拒绝服务漏洞、Cisco IOS XE Wireless Controller software拒绝服务漏洞、Cisco IOS XE权限提升漏洞( CNVD-2022-55150)、Cisco IOS XE AppNav-XE拒绝服务漏洞、多款Cisco Small Business产品拒绝服务漏洞、Cisco Small Business缓冲区溢出漏洞(CNVD-2022-56085)等。 | |
其他编号 | CVE-2022-20858、CVE-2022-20908 CVE-2022-20909、CVE-2022-20857 CVE-2022-20683、CVE-2022-20682 CVE-2022-20681、CVE-2022-20678 CVE-2022-20825、CVE-2022-20897 | ||||
发布时间 | 2022-08-04 | ||||
影响产品 | Cisco Nexus Dashboard Cisco Cisco IOS XE Cisco Cisco IOS XE Wireless Controller software Cisco RV110W Cisco RV130W Cisco RV215W Cisco RV130 | ||||
6 | F5多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-55180、 CNVD-2022-55179 CNVD-2022-55178、 CNVD-2022-55177 CNVD-2022-55185、 CNVD-2022-55184 CNVD-2022-55183、 CNVD-2022-55182 CNVD-2022-55181、 CNVD-2022-55188 | 本月,F5多款产品存在安全漏洞。攻击者利用该漏洞导致拒绝服务,在配置实用程序中以未公开的方式创建或修改现有健康检查对象,从而导致权限升级等。本月漏洞包括:F5 BIG-IP TMM数据规范化无限循环漏洞、F5 BIG-IP APM和F5 SSL Orchestrator拒绝服务漏洞、F5 BIG-IP HTTP MRF拒绝服务漏洞、F5 BIG-IP健康检查配置权限提升漏洞、F5 BIG-IP APM空指针指针解引用漏洞、F5 BIG-IP消息路由MQTT拒绝服务漏洞、F5 BIG-IP HTTP2配置文件拒绝服务漏洞、F5 BIG-IP TLS 1.3 iRule空指针解引用漏洞、F5 BIG-IP TMM ClientSSL配置文件拒绝服务漏洞、F5 BIG-IP iControl REST不当权限管理漏洞等。 | |
其他编号 | CVE-2022-34862、CVE-2022-33203 CVE-2022-35272、CVE-2022-35735 CVE-2022-35245、CVE-2022-35240 CVE-2022-35236、CVE-2022-34651 CVE-2022-32455、CVE-2022-35243 | ||||
发布时间 | 2022-08-04 | ||||
影响产品 | F5 BIG-IP (all modules) F5 BIG-IP (APM与SSLO) F5 BIG-IP (APM) | ||||
7 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-59594、 CNVD-2022-59601 CNVD-2022-59677、 CNVD-2022-59676 CNVD-2022-59681、 CNVD-2022-59680 CNVD-2022-59679、 CNVD-2022-59684 CNVD-2022-59686、 CNVD-2022-60136 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞进行欺骗攻击,在系统上执行任意代码。本月漏洞包括:Microsoft SharePoint Server远程代码执行漏洞(CNVD-2022-59594)、Microsoft SharePoint Server欺骗漏洞(CNVD-2022-59601)、Microsoft HEVC Video Extensions远程代码执行漏洞(CNVD-2022-59677、CNVD-2022-59676、CNVD-2022-59681、CNVD-2022-59680、CNVD-2022-59679、CNVD-2022-59684、CNVD-2022-59686)、Microsoft .NET Framework拒绝服务漏洞(CNVD-2022-60136)等。 | |
其他编号 | CVE-2022-21837、CVE-2021-36940 CVE-2022-22018、CVE-2022-29111 CVE-2022-22007、CVE-2022-22006 CVE-2022-29119、CVE-2022-24452 CVE-2022-21917、CVE-2022-26832 | ||||
发布时间 | 2022-08-25 | ||||
影响产品 | Microsoft SharePoint Foundation 2013 SP1 Microsoft SharePoint Server 2019 Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2013 Service Pack 1 Microsoft HEVC Video Extensions Microsoft .NET Framework | ||||
8 | SAP多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-56942、 CNVD-2022-56941 CNVD-2022-56940、 CNVD-2022-56945 CNVD-2022-56944、 CNVD-2022-56943 CNVD-2022-56948、 CNVD-2022-56955 CNVD-2022-58470、 CNVD-2022-58478 | 本月,SAP多款产品存在安全漏洞。攻击者可利用该漏洞查看或修改信息,在受害者的计算机上执行任意命令等。本月漏洞包括:SAP NetWeaver Enterprise Portal跨站脚本漏洞(CNVD-2022-56942、CNVD-2022-56941)、SAP BusinessObjects Business Intelligence Platform授权问题漏洞、SAP BusinessObjects Central Management Console跨站请求伪造漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2022-56944)、SAP Business One License service API授权问题漏洞、SAP S/4HANA输入验证错误漏洞、SAP SuccessFactors权限提升漏洞、SAP Business One CSV注入漏洞、SAP Business One权限许可和访问控制问题漏洞等。 | |
其他编号 | CVE-2022-35172、CVE-2022-32247 CVE-2022-29619、CVE-2022-35228 CVE-2022-35169、CVE-2022-28771 CVE-2022-32248、CVE-2022-35291 CVE-2021-38180、CVE-2021-27616 | ||||
发布时间 | 2022-08-15 | ||||
影响产品 | SAP NetWeaver Enterprise Portal SAP NetWeaver Enterprise Po SAP BusinessObjects Business Intelligence Platform SAP BusinessObjects Central Management Console SAP Business one License service API SAP S/4HANA SAP SAP SuccessFactors SAP Business One | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品的数量处于高位,操作系统、数据库、智能设备(物联网终端设备)漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | SAP NetWeaver Developer Studio代码问题漏洞 | CNVD-2022-56949 | 2022/8/15 |
2 | Aruba ClearPass Policy Manager远程命令注入漏洞(CNVD-2022-55527) | CNVD-2022-55527 | 2022/8/05 |
3 | Aruba ClearPass Policy Manager远程命令注入漏洞(CNVD-2022-55532) | CNVD-2022-55532 | 2022/8/05 |
4 | Aruba ClearPass Policy Manager跨站脚本漏洞(CNVD-2022-55535) | CNVD-2022-55535 | 2022/8/05 |
5 | Aruba ClearPass Policy Manager跨站脚本漏洞(CNVD-2022-55534) | CNVD-2022-55534 | 2022/8/05 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是SAP NetWeaver Developer Studio代码问题漏洞,其访问量达到27483次以上 。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞2271个,与前12个月平均收录数量2015个相比,处于高位;本月高危漏洞743个,与前12个月高危漏洞平均收录数量604个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月18日发布的安全漏洞数量最多,高达230个,主要是因为收录了D-Link、WordPress等多款产品存在的多个漏洞 。
粉丝专属福利
弘沿科技公众号回复“抽礼品”参与“扫码有礼”活动抽精美礼品!
数量有限,先到先得哦!
