CNVD漏洞周報2022年第32期
本周信息安全漏洞威脅整體評價級別 為中。
國家信息安全漏洞共享平臺(以下簡稱CNVD)本周共收集、整理信息安全漏洞548個,其中高危漏洞158個、中危漏洞300個、低危漏洞90個。漏洞平均分值為5.60。本周收錄的漏洞中,涉及0day漏洞275個(占50%),其中互聯網上出現“PESCMS跨站請求偽造漏洞(CNVD-2022-56093)、Online Fire Reporting System跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機關和企事業單位的事件型漏洞總數5952個,與上周(6731個)環比減少12%。
圖1 CNVD收錄漏洞近10周平均分值分布圖
圖2 CNVD 0day漏洞總數按周統計
本周漏洞事件處置情況
本周, CNVD向銀行、保險、能源等重要行業單位通報漏洞事件19起,向基礎電信企業通報漏洞事件15起,協調CNCERT各分中心驗證和處置涉及地方重要部門漏洞事件504起,協調教育行業應急組織驗證和處置高校科研院所系統漏洞事件127起,向國家上級信息安全協調機構上報涉及部委門戶、子站或直屬單位信息系統漏洞事件50起。
圖3 CNVD各行業漏洞處置情況按周統計
圖4 CNCERT各分中心處置情況按周統計
圖5 CNVD教育行業應急組織處置情況按周統計
此外, CNVD通過已建立的聯系機制或涉事單位公開聯系渠道向以下單位通報了其信息系統或軟硬件產品存在的漏洞,具體處置單位情況如下所示:
珠海金山辦公軟件有限公司、重慶中聯信息產業有限責任公司、重慶涅若科技有限公司、重慶路西法科技有限公司、眾勤通信設備貿易(上海)有限公司、中微達科技有限公司、中山市同創科技發展有限公司、中科方德軟件有限公司、浙江正裕工業股份有限公司、浙江臻善科技股份有限公司、浙江大華技術股份有限公司、長沙博為軟件技術股份有限公司、云頂信息技術股份有限公司、友訊電子設備(上海)有限公司、用友網絡科技股份有限公司、兄弟(中國)商業有限公司、夏普商貿(中國)有限公司、暇光軟件科技(上海)有限公司、西安眾邦網絡科技有限公司、西安新軟信息科技有限公司、武漢新宏博科技有限公司、微軟(中國)有限公司、網經科技(蘇州)有限公司、天津天堰科技股份有限公司、蘇州天一信德環保科技有限公司、蘇州市億韻商務信息有限公司、蘇州科達科技股份有限公司、蘇州浩辰軟件股份有限公司、蘇州國網電子科技有限公司、四平市九州易通科技有限公司、施耐德電氣(中國)有限公司、神州數碼信息服務股份有限公司、深圳智慧光迅信息技術有限公司、深圳市迅捷通信技術有限公司、深圳市萬網博通科技有限公司、深圳市明源云科技有限公司、深圳市捷順科技實業股份有限公司、深圳市吉祥騰達科技有限公司、上海卓卓網絡科技有限公司、上海曉材科技有限公司、上海三高計算機中心股份有限公司、上海青棗網絡科技有限公司、上海穆云智能科技有限公司、上海亙巖網絡科技有限公司、上海泛微網絡科技股份有限公司、上海二三四五網絡科技有限公司、熵基科技股份有限公司、山東中維世紀科技股份有限公司、山東濰微科技股份有限公司、山東山大華天軟件有限公司、山東歐倍爾軟件科技有限責任公司、廈門網中網軟件有限公司、南京云網匯聯軟件技術有限公司、南昌藍智科技有限公司、茉柏枘(上海)軟件科技有限公司、摩莎科技(上海)有限公司、明騰網絡股份有限公司、邁普通信技術股份有限公司、零視技術(上海)有限公司、獵豹移動公司、理光(中國)投資有限公司、朗坤智慧科技股份有限公司、廊坊市極致網絡科技有限公司、京邁(湖北)電子商務有限公司、金蝶軟件(中國)有限公司、江西銘軟科技有限公司、江蘇知途教育科技有限公司、江蘇省廣電有線信息網絡股份有限公司、江蘇三希科技股份有限公司、佳能(中國)有限公司、濟南中維世紀科技有限公司、吉翁電子(深圳)有限公司、惠普貿易(上海)有限公司、華碩電腦(上海)有限公司、湖北淘碼千維信息科技有限公司、恒鋒信息科技股份有限公司、合肥盛東信息科技有限公司、杭州易軟共創網絡科技有限公司、杭州敘簡科技股份有限公司、杭州思福迪信息技術有限公司、杭州三匯信息工程有限公司、海南馳豹科技有限公司、國交信息股份有限公司、桂林崇勝網絡科技有限公司、貴州筑站信息技術有限公司、廣州中望龍騰軟件股份有限公司、廣州圖創計算機軟件開發有限公司、廣州南方衛星導航儀器有限公司、廣州浩洋信息科技有限公司、廣西計算中心有限責任公司、廣聯達科技股份有限公司、廣東飛企互聯科技股份有限公司、烽火通信科技股份有限公司、帆軟軟件有限公司、東莞市東城喬倫軟件開發工作室、東莞市東城飛飛網絡科技經營部、稻田共享信息技術石家莊有限公司、鄲城縣新翔軟件科技有限公司、戴爾(中國)有限公司、大唐電信科技股份有限公司、大連華天軟件有限公司、成都云騰五洲科技有限公司、成都佳發安泰教育科技股份有限公司、成都飛魚星科技股份有限公司、北京中科網威信息技術有限公司、北京智慧遠景科技產業有限公司、北京致遠互聯軟件股份有限公司、北京用友融聯科技有限公司、北京億賽通科技發展有限責任公司、北京星網銳捷網絡技術有限公司、北京網御星云信息技術有限公司、北京網梯科技發展有限公司、北京網康科技有限公司、北京通達志成科技有限公司、北京數字政通科技股份有限公司、北京全品文教科技股份有限公司、北京龍軟科技股份有限公司、北京領霧科技有限公司、北京酷我科技有限公司、北京九思協同軟件有限公司、北京競業達數碼科技股份有限公司、北京火星高科數字科技有限公司、北京飛書科技有限公司、北京棣南新宇科技有限公司、北京北大方正電子有限公司、北京百卓網絡技術有限公司、暴風集團股份有限公司、安徽晶奇網絡科技股份有限公司、愛普生(中國)有限公司、信呼、華夏ERP、zzzcms、ZZCMS、XnSoft、Witte Software、ThinkItCMS、SEMCMS、FTCMS、Fernhill Software、Belkin International,Inc和Axis Communications AB.。
本周,CNVD發布了《Microsoft發布2022年8月安全更新》。詳情參見CNVD網站公告內容。
https://www.cnvd.org.cn/webinfo/show/7986
本周漏洞報送情況統計
本周報送情況如表1所示 。北京神州綠盟科技有限公司、新華三技術有限公司、深信服科技股份有限公司、安天科技集團股份有限公司、天津市國瑞數碼安全系統股份有限公司等單位報送公開收集的漏洞數量較多。北京華順信安科技有限公司、中國電信股份有限公司網絡安全產品運營中心、河南信安世紀科技有限公司、貴州泰若數字科技有限公司、奇安星城網絡安全運營服務(長沙)有限公司、河南東方云盾信息技術有限公司、山石網科通信技術股份有限公司、杭州迪普科技股份有限公司、星云博創科技有限公司、西門子(中國)有限公司、浙江木鏈物聯網科技有限公司、平安銀河實驗室、廣州安億信軟件科技有限公司、江蘇天競云合數據技術有限公司、上海紐盾科技股份有限公司、北京威努特技術有限公司、蘇州棱鏡七彩信息科技有限公司、重慶都會信息科技、北京六方云信息技術有限公司、福建省海峽信息技術有限公司、內蒙古洞明科技有限公司、河南靈創電子科技有限公司、博智安全科技股份有限公司、江蘇耘和計算機系統工程有限公司、山東新潮信息技術有限公司、北京百度網訊科技有限公司、中科匯能科技有限公司、廣電奇安網絡科技(重慶)有限公司、黑龍江億林網絡股份有限公司、上海嘉韋思信息技術有限公司、京數安(北京)科技有限公司及其他個人白帽子向CNVD提交了5952個以事件型漏洞為主的原創漏洞,其中包括斗象科技(漏洞盒子)、上海交大、奇安信網神(補天平臺)和三六零數字安全科技集團有限公司向CNVD共享的白帽子報送的4573條原創漏洞信息。
表1 漏洞報 送情況統計表
本周漏洞按類型和廠商統計
本周 ,CNVD收錄了548個漏洞。WEB應用257個,應用程序174個,網絡設備(交換機、路由器等網絡端設備)73個,智能設備(物聯網終端設備)33個,安全產品6個,操作系統5個。
表2 漏洞按影響類型統計表
圖6 本周漏洞按影響類型分布
CNVD整理和發布的漏洞涉及WordPress、Microsoft、Adobe等多家廠商的產品,部分漏洞數量按廠商統計如表3所示。
表3 漏洞產品涉及廠商分布統計表
