根据国家信息安全漏洞库(CNNVD)统计,本周(2022年10月3日至2022年10月9日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞347个。
接报漏洞情况
本周CNNVD接报漏洞7978个,漏洞平台推送漏洞7978个。
重大漏洞通报
微软多个安全漏洞:包括Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082),经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞347个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有54个;从漏洞类型来看,SQL注入类的安全漏洞占比最大,达到8.93%。新增漏洞中,超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞347个。
(二) 安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有54个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞58个,华为公司漏洞数量最多,有33个。国内厂商漏洞整体修复率为79.66%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, SQL注入类的安全漏洞占比最大,达到8.93%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞37个,高危漏洞74个,中危漏洞227个,低危漏洞9个。相应修复率分别为45.95%、74.32%、71.37%和88.89%。根据补丁信息统计,合计242个漏洞已有修复补丁发布,整体修复率为69.74%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
1.Apache Commons JXPath 安全漏洞(CNNVD-202210-203)
Apache Commons JXPath是美国阿帕奇(Apache)基金会基于Java 实现的 XPath 。
Apache Commons JXPath 存在安全漏洞。攻击者利用该漏洞通过XPath表达式加载任意Java类,从而执行代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
2. WordPress plugin Frontend File Manager 代码问题漏洞(CNNVD-202210-097)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Frontend File Manager 21.3之前版本存在代码问题漏洞。攻击者利用该漏洞可以将文件重命名为任意扩展名,从而在服务器中上传任意文件并执行远程代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
3. Google Golang 安全漏洞(CNNVD-202210-124)
Google Golang是美国谷歌(Google)公司的一种静态强类型、编译型语言。
Google Golang 存在安全漏洞。该漏洞源于在转发请求时,ReverseProxy函数包含了无法解析的查询参数。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
二、漏洞平台推送情况
本周漏洞平台推送漏洞7978个。
三、接报漏洞通报情况
本周CNNVD接报漏洞通报35份。
四、重大漏洞通报
CNNVD关于Microsoft Exchange Server
多个安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Microsoft Exchange Server多个安全漏洞(CNNVD-202210-001/CVE-2022-41040、CNNVD-202210-002/CVE-2022-41082)情况的报送。经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统远程代码执行。Exchange Server多版本受漏洞影响。目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
.漏洞介绍
Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。
1、Microsoft Exchange Server安全漏洞(CNNVD-202210-001、CVE-2022-41040):
经身份验证的攻击者利用该漏洞构造恶意请求,可获取内网访问权限及服务信息。
2、Microsoft Exchange Server安全漏洞(CNNVD-202210-002、CVE-2022-41082):
联合利用上一漏洞的攻击者可远程访问PowerShell,进而在目标系统远程执行代码。
.危害影响
经身份验证的攻击者利用服务端请求伪造漏洞可远程访问PowerShell,进而导致在目标系统被远程代码执行。Microsoft Exchange Server 2013、Exchange Server 2016和Exchange Server 2019等版本均受上述漏洞影响。
.修复建议
目前,微软官方已公告上述漏洞并提供临时修复措施,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
—-数据来源:CNNVD安全动态 微信公众号