情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞1854个,其中高危漏洞648个,中危漏洞966个,低危漏洞240个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1543个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-61747、CNVD-2022-61751CNVD-2022-65631、CNVD-2022-65635CNVD-2022-65633、CNVD-2022-65639CNVD-2022-65636、CNVD-2022-65640CNVD-2022-65641、CNVD-2022-65642 | 本月,Google多款产品存在安全漏洞。攻击者可利用此漏洞获得提升的权限,执行任意代码,导致拒绝服务等。本月漏洞包括:Google Android权限提升漏洞(CNVD-2022-61747、CNVD-2022-61751、CNVD-2022-65631、CNVD-2022-65633、CNVD-2022-65639、CNVD-2022-65636、CNVD-2022-65640、CNVD-2022-65641、CNVD-2022-65642)、Google Android拒绝服务漏洞(CNVD-2022-65635)等。 | |
其他编号 | CVE-2022-20144、CVE-2022-20223 CVE-2021-39696、CVE-2022-20375 CVE-2022-20180、CVE-2022-20347 CVE-2022-20403、CVE-2022-20158 CVE-2022-20365、CVE-2022-20383 | ||||
发布时间 | 2022-09-28 | ||||
影响产品 | Google Android | ||||
2 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-64963、CNVD-2022-64966CNVD-2022-64965、CNVD-2022-64964CNVD-2022-64969、CNVD-2022-64968CNVD-2022-64967、CNVD-2022-66018CNVD-2022-66015、CNVD-2022-66021 | 本月,Adobe多款产品存在缓冲区溢出漏洞。攻击者可利用该漏洞读取任意文件,在当前用户的上下文中执行任意代码等。本月漏洞包括:Adobe Bridge缓冲区溢出漏洞(CNVD-2022-64963、CNVD-2022-64966、CNVD-2022-64965、CNVD-2022-64964、CNVD-2022-64968、CNVD-2022-64967、CNVD-2022-66015)、Adobe Photoshop缓冲区溢出漏洞(CNVD-2022-66021、CNVD-2022-64969、CNVD-2022-66018)等。 | |
其他编号 | CVE-2022-35703、CVE-2022-35701 CVE-2022-35702、CVE-2022-35705 CVE-2022-38429、CVE-2022-35699 CVE-2022-35700、CVE-2022-38430 CVE-2022-35707、CVE-2022-38426 | ||||
发布时间 | 2022-09-22 | ||||
影响产品 | Adobe Bridge Adobe Photoshop | ||||
3 | Huawei多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-61609、CNVD-2022-64981CNVD-2022-64980、CNVD-2022-64979CNVD-2022-64978、CNVD-2022-64985CNVD-2022-64984、CNVD-2022-64983CNVD-2022-64982、CNVD-2022-66183 | 本月,Huawei多款产品存在安全漏洞。攻击者可利用该漏洞导致设备内存泄露,权限提升,执行恶意代码等。本月漏洞包括:Huawei HarmonyOS空指针漏洞、Huawei HarmonyOS缓冲区溢出漏洞(CNVD-2022-64981、CNVD-2022-66183)、Huawei HarmonyOS反序列化漏洞、Huawei HarmonyOS WLAN模块信息泄露漏洞、Huawei HarmonyOS WLAN模块授权问题漏洞、Huawei HarmonyOS权限提升漏洞(CNVD-2022-64985)、Huawei HarmonyOS配置错误漏洞、Huawei HarmonyOS内存泄露漏洞(CNVD-2022-64983)、Huawei HarmonyOS路径遍历漏洞(CNVD-2022-64982)等。 | |
其他编号 | CVE-2022-34736、CVE-2021-40017 CVE-2022-39008、CVE-2021-46836 CVE-2022-39009、CVE-2022-39007 CVE-2022-38997、CVE-2022-39004 CVE-2022-39001、CVE-2021-40036 | ||||
发布时间 | 2022-09-22 | ||||
影响产品 | Huawei HarmonyOS Huawei EMUI Huawei Magic UI | ||||
4 | IBM多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-61905、CNVD-2022-61908CNVD-2022-61907、CNVD-2022-61906CNVD-2022-61911、CNVD-2022-61910CNVD-2022-61909、CNVD-2022-63180CNVD-2022-63367、CNVD-2022-63369 | 本月,IBM多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息,导致拒绝服务,通过发送特制请求在系统上执行任意命令等。本月漏洞包括:IBM Maximo Asset Management跨站脚本漏洞(CNVD-2022-61905)、IBM Sterling B2B Integrator授权问题漏洞(CNVD-2022-61908)、IBM Sterling B2B Integrator跨站脚本漏洞(CNVD-2022-61907)、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2022-61906)、IBM App Connect Enterprise拒绝服务漏洞、IBM Engineering Requirements Quality Assistant跨站请求伪造漏洞、IBM Sterling File Gateway信息泄露漏洞(CNVD-2022-61909)、IBM i SQL注入漏洞(CNVD-2022-63180)、IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令执行漏洞等。 | |
其他编号 | CVE-2022-35714、CVE-2021-39087 CVE-2021-39035、CVE-2021-39085 CVE-2022-31770、CVE-2021-38868 CVE-2021-39086、CVE-2022-22495 CVE-2022-22413、CVE-2022-22454 | ||||
发布时间 | 2022-09-07 | ||||
影响产品 | IBM i IBM Maximo Asset Management IBM Sterling B2B Integrator Standard Edition IBM App Connect Enterprise Certified Container IBM Engineering Requirements Quality Assistant IBM Sterling File Gateway IBM Robotic Process Automation IBM InfoSphere Information Server | ||||
5 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-62513、CNVD-2022-62512CNVD-2022-62516、CNVD-2022-62515CNVD-2022-62514、CNVD-2022-62519CNVD-2022-62518、CNVD-2022-62517CNVD-2022-62521、CNVD-2022-65609 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息,以更高的权限执行任意代码,导致拒绝服务等。本月漏洞包括:Microsoft Windows Print Spooler权限提升漏洞(CNVD-2022-62513、CNVD-2022-62512)、Microsoft Windows Win32k权限提升漏洞(CNVD-2022-62516)、Microsoft Windows Kerberos权限提升漏洞、Microsoft Windows Hyper-V Shared Virtual Hard Disks信息泄露漏洞(CNVD-2022-62514、CNVD-2022-62517)、Microsoft Windows DNS Server远程代码执行漏洞、Microsoft Windows Cluster Shared Volume (CSV) 拒绝服务漏洞、Microsoft Windows Common Log File System Driver权限提升漏洞、Microsoft Windows Telephony Serve权限提升漏洞等。 | |
其他编号 | CVE-2022-26786、CVE-2022-26787 CVE-2022-24542、CVE-2022-24544 CVE-2022-26785、CVE-2022-24536 CVE-2022-24538、CVE-2022-24539 CVE-2022-24521、CVE-2022-24550 | ||||
发布时间 | 2022-09-10 | ||||
影响产品 | Microsoft Windows 7 Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows 8.1 Microsoft Windows RT 8.1 Microsoft Windows Server Microsoft Windows Server 2008 Microsoft Windows Server 2019 Microsoft Windows Server 2022 Microsoft Windows Server 2012 Microsoft Windows Server 2016 | ||||
6 | Samsung多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-63631、CNVD-2022-63630CNVD-2022-63632、CNVD-2022-63645CNVD-2022-63647、CNVD-2022-63652CNVD-2022-63655、CNVD-2022-63658CNVD-2022-63656、CNVD-2022-63659 | 本月,Samsung多款产品存在安全漏洞。攻击者可利用该漏洞执行代码,导致越界写入等。本月漏洞包括:Samsung SMR输入验证错误漏洞(CNVD-2022-63647、CNVD-2022-63630)、Samsung SMR空指针解引用漏洞、Samsung SMR访问控制错误漏洞(CNVD-2022-63645)、Samsung SMR缓冲区溢出漏洞(CNVD-2022-63652)、Samsung SMR堆缓冲区溢出漏洞(CNVD-2022-63655、CNVD-2022-63631、CNVD-2022-63658、CNVD-2022-63656、CNVD-2022-63659)等。 | |
其他编号 | CVE-2022-27568、CVE-2022-27574 CVE-2022-27567、CVE-2022-27836 CVE-2022-27826、CVE-2022-26092 CVE-2022-27571、CVE-2022-27570 CVE-2022-26098、CVE-2022-27572 | ||||
发布时间 | 2022-09-16 | ||||
影响产品 | Samsung SMR | ||||
7 | Siemens多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-62978、CNVD-2022-62982CNVD-2022-62981、CNVD-2022-62980CNVD-2022-62979、CNVD-2022-62985CNVD-2022-62984、CNVD-2022-62983CNVD-2022-62986、CNVD-2022-62989 | 本月,Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码。本月漏洞包括:Siemens Simcenter Femap and Parasolid越界读取漏洞(CNVD-2022-62981、CNVD-2022-62978、CNVD-2022-62989)、Siemens Simcenter Femap and Parasolid越界写入漏洞(CNVD-2022-62982、CNVD-2022-62980、CNVD-2022-62979、CNVD-2022-62985、CNVD-2022-62984、CNVD-2022-62983、CNVD-2022-62986)等。 | |
其他编号 | CVE-2022-39156、CVE-2022-39152 CVE-2022-39153、CVE-2022-39154 CVE-2022-39155、CVE-2022-39149 CVE-2022-39150、CVE-2022-39151 CVE-2022-39148、CVE-2022-39145 | ||||
发布时间 | 2022-09-14 | ||||
影响产品 | Siemens Simcenter Femap Siemens Parasolid | ||||
8 | WordPress多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-61899、CNVD-2022-62180CNVD-2022-62181、CNVD-2022-62208CNVD-2022-64671、CNVD-2022-64675CNVD-2022-65196、CNVD-2022-65214CNVD-2022-66595、CNVD-2022-66621 | 本月,WordPress多款产品存在安全漏洞。攻击者可利用该漏洞获取数据库敏感数据,通过CSRF攻击使登录的管理员删除评论,执行反射跨站点脚本攻击,执行服务器跨站请求伪造攻击等。本月漏洞包括:WordPress Throws SPAM Away plugin跨站请求伪造漏洞、WordPress Ultimate WooCommerce CSV Importer plugin跨站脚本漏洞、WordPress WP Ultimate CSV Importer跨站请求伪造漏洞、WordPress Files Download Delay plugin跨站请求伪造漏洞、WordPress plugin CP Image Store with Slideshow SQL注入漏洞、WordPress WP Fundraising Donation and Crowdfunding Platform SQL注入漏洞、WordPress StaffList plugin SQL注入漏洞、WordPress Ubigeo de Peru plugin SQL注入漏洞、WordPress TI WooCommerce Wishlist plugin SQL注入漏洞、WordPress MOLIE plugin SQL注入漏洞等。 | |
其他编号 | CVE-2022-1709、CVE-2022-1470 CVE-2022-1977、CVE-2022-1570 CVE-2022-1692、CVE-2022-0788 CVE-2022-1556、CVE-2022-0814 CVE-2022-0412、CVE-2021-25007 | ||||
发布时间 | 2022-09-09 | ||||
影响产品 | WordPress Throws SPAM Away plugin WordPress Ultimate WooCommerce CSV Importer plugin WordPress WP Ultimate CSV Importer Plugin WordPress Files Download Delay plugin WordPress CP Image Store with Slideshow WordPress WP Fundraising Donation and Crowdfunding Platform WordPress StaffList plugin WordPress Ubigeo de Peru WordPress TI WooCommerce Wishlist plugin WordPress MOLIE plugin | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月WEB应用、安全产品漏洞的数量处于高位,操作系统、应用程序、数据库、网络设备(交换机、路由器等网络端设备)、智能设备(物联网终端设备)漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | 七猫免费小说存在逻辑缺陷漏洞 | CNVD-2022-64955 | 2022/9/26 |
2 | WAVLINK AERIAL X 1200M信息泄露漏洞(CNVD-2022-61032) | CNVD-2022-61032 | 2022/9/1 |
3 | H3C SSL VPN跨站脚本漏洞 | CNVD-2022-60660 | 2022/9/1 |
4 | 安博通应用网关存在未授权访问漏洞 | CNVD-2022-57042 | 2022/9/5 |
5 | WAVLINK WN535 G3信息泄露漏洞 | CNVD-2022-61035 | 2022/9/1 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是七猫免费小说存在逻辑缺陷漏洞,其访问量达到35次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞1854个,与前12个月平均收录数量2020个相比,处于低位;本月高危漏洞648个,与前12个月高危漏洞平均收录数量620个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月22日发布的安全漏洞数量最多,高达214个,主要是因为收录了Adobe、Huawei等多款产品存在的多个漏洞。
