国家信息安全漏洞共享平台：华为手机系统一信息漏洞为“高危”

11月29日，国家信息安全漏洞共享平台（CNVD）发布报告称，本周共收集、整理信息安全漏洞536个，其中高危漏洞193个、中危漏洞261个、低危漏洞82个。其中，“Huawei EMUI（华为手机操作系统）和Magic UI信息泄露漏洞（CNVD-2022-81251）、Elcomplus SmartPPT文件上传漏洞”等漏洞的综合评级为“高危”。

目前，相关厂商已经发布了漏洞的修补程序。

本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数39112个，与上周（17037个）环比增加1.3倍。这些漏洞涉及Jenkins、Google、Adobe等多家厂商的产品。

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件41起，向基础电信企业通报漏洞事件26起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件1097起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件210起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件174起。

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，其中包括：北京小米科技有限责任公司、新浪网技术（中国）有限公司、携程旅行网、北京星网锐捷网络技术有限公司、阿里巴巴集团安全应急响应中心等。

而报送这些漏洞的公司，则包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大等平台，他们向CNVD共享的白帽子报送了35342条原创漏洞信息。

从类型来看，本周，CNVD收录了536个漏洞。WEB应用255个，应用程序181个，网络设备（交换机、路由器等网络端设备）55个，智能设备（物联网终端设备）19个，操作系统19个，安全产品5个，数据库2个。

CNVD整理和发布的漏洞涉及Jenkins、Google、Adobe、三星、新华三、华为等多家厂商的产品。其中，Adobe Dimension是美国Adobe公司的一套2D和3D合成设计工具。Adobe InDesign是一套排版编辑应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

本周，CNVD收录了收录了36个电信行业漏洞，30个移动互联网行业漏洞，11个工控行业漏洞。其中，“Huawei EMUI和Magic UI信息泄露漏洞（CNVD-2022-81251）、Elcomplus SmartPPT文件上传漏洞”等漏洞的综合评级为“高危”。目前，相关厂商已经发布了漏洞的修补程序。