信息安全漏洞周报(2022年第6期)
根据国家信息安全漏洞库(CNNVD)统计,2022年1月31日至2022年2月6日安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞414个。
接报漏洞情况
本周CNNVD接报漏洞584个,其中信息技术产品漏洞(通用型漏洞)8个,网络信息系统漏洞(事件型漏洞)5个,漏洞平台推送漏洞571个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞414个,漏洞新增数量有所下降。从厂商分布来看谷歌公司新增漏洞最多,有55个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到9.18%。新增漏洞中,超危漏洞39个,高危漏洞177个,中危漏洞158个,低危漏洞40个。相应修复率分别为92.31%、98.31%、98.10%和100.00%。根据补丁信息统计,合计405个漏洞已有修复补丁发布,整体修复率为97.83%。
(一)安全漏洞增长数量情况
本周CNNVD采集安全漏洞414个。
图1 近五周漏洞新增数量统计图
(二)安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有55个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | 谷歌 | 55 | 13.29% |
2 | WordPress基金会 | 34 | 8.21% |
3 | 系徽 | 18 | 4.35% |
4 | MariaDB | 9 | 2.17% |
5 | Linux基金会 | 7 | 1.69% |
本周国内厂商漏洞22个,系徽公司漏洞数量最多,有18个。国内厂商漏洞整体修复率为100.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到9.18%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 跨站脚本 | 38 | 9.18% |
2 | 缓冲区错误 | 31 | 7.49% |
3 | 代码问题 | 24 | 5.80% |
4 | 资源管理错误 | 22 | 5.31% |
5 | SQL注入 | 20 | 4.83% |
6 | 输入验证错误 | 13 | 3.14% |
7 | 跨站请求伪造 | 8 | 1.93% |
8 | 权限许可和访问控制问题 | 6 | 1.45% |
9 | 路径遍历 | 5 | 1.21% |
10 | 操作系统命令注入 | 4 | 0.97% |
11 | 授权问题 | 4 | 0.97% |
12 | 安全特征问题 | 4 | 0.97% |
13 | 信任管理问题 | 4 | 0.97% |
14 | 访问控制错误 | 3 | 0.72% |
15 | 命令注入 | 3 | 0.72% |
16 | 信息泄露 | 2 | 0.48% |
17 | 注入 | 2 | 0.48% |
18 | 后置链接 | 1 | 0.24% |
19 | 数字错误 | 1 | 0.24% |
20 | 日志信息泄露 | 1 | 0.24% |
21 | 其他 | 218 | 52.66% |
(三)安全漏洞危害等级与修复情况
本周共发布超危漏洞39个,高危漏洞177个,中危漏洞158个,低危漏洞40个。相应修复率分别为92.31%、98.31%、98.10%和100.00%。根据补丁信息统计,合计405个漏洞已有修复补丁发布,整体修复率为97.83%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
1 | 超危 | 39 | 36 | 92.31% |
2 | 高危 | 177 | 174 | 98.31% |
3 | 中危 | 158 | 155 | 98.10% |
4 | 低危 | 40 | 40 | 100.00% |
合计 | 414 | 405 | 97.83% | |
(四)本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号 | 漏洞 | 漏洞编号 | 厂商 | 漏洞实例 | 是否修复 | 危害等级 |
类型 | ||||||
1 | SQL注入 | CNNVD-202202-043 | WordPress基金会 | WordPress SQL注入漏洞 | 是 | 超危 |
2 | 命令注入 | CNNVD-202202-126 | Fortinet | Fortinet FortiExtender 命令注入漏洞 | 是 | 高危 |
3 | 授权问题 | CNNVD-202202-134 | IBM | IBM Financial Transaction Manager 授权问题漏洞 | 是 | 高危 |
1. WordPress SQL注入漏洞(CNNVD-202202-043)
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
Perfect Survey WordPress plugin 1.5.2之前版本存在SQL注入漏洞,该漏洞源于程序缺少对外部输入的SQL语句进行验证,攻击者可利用该漏洞执行恶意SQL命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:、
https://wpscan.com/vulnerability/c1620905-7c31-4e62-80f5-1d9635be11ad
2. Fortinet FortiExtender 命令注入漏洞(CNNVD-202202-126)
FortinetFortiExtender是美国飞塔(Fortinet)公司的一款无线WAN(广域网)扩展器设备。
FortinetFortiExtender 7.0.1及之前版本、4.2.3及之前版本、4.1.7及之前版本存在安全漏洞,该漏洞允许经过身份验证的攻击者通过CLI命令(包括特殊字符)执行特权shell命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/advisory/FG-IR-21-148
3. IBM Financial Transaction Manager 授权问题漏洞(CNNVD-202202-134)
IBM Financial Transaction Manager是美国IBM公司的一款金融事务管理器。该产品主要用于监控、跟踪和报告金融支付和交易。
IBM Financial Transaction Manager 3.2.4 存在授权问题漏洞,攻击者可利用该漏洞窃取经过身份验证的会话内容。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6527892
二、漏洞平台推送情况
本周漏洞平台推送漏洞571个。
序号 | 漏洞平台 | 漏洞总量 |
1 | 补天平台 | 571 |
2 | 漏洞盒子 | 0 |
推送总计 | 571 | |
三、接报漏洞情况
本周CNNVD接报漏洞13个,其中信息技术产品漏洞(通用型漏洞)8个,网络信息系统漏洞(事件型漏洞)5个。
表5 本周漏洞报送情况
序号 | 报送单位 | 漏洞总量 |
1 | 北京数字观星科技有限公司 | 8 |
2 | 华为技术有限公司 | 3 |
3 | 北京威努特技术有限公司 | 1 |
4 | 信息工程大学 | 1 |
报送总计 | 13 | |
四、接报漏洞预警情况
本周CNNVD接报漏洞预警2份。
序号 | 报送单位 | 预警总量 |
1 | 北京神州绿盟科技有限公司 | 1 |
2 | 网神信息技术(北京)股份有限公司 | 1 |
报送总计 | 2 | |
