CNVD漏洞周报2021年第37期
本周信息安全漏洞威胁整体评价级别 为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞392个,其中高危漏洞104个、中危漏洞239个、低危漏洞49个。漏洞平均分值为5.57。本周收录的漏洞中,涉及0day漏洞288个(占73%),其中互联网上出现“TryGhost express-hbs信息泄露漏洞、Tastylgniter跨站脚本漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的原创漏洞总数5176个,与上周(6218个)环比减少17%。
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
本周漏洞事件处置情况
本周, CNVD向银行、保险、能源等重要行业单位通报漏洞事件23起,向基础电信企业通报漏洞事件36起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件553起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件59起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件40起。
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
图5 CNVD教育行业应急组织处置情况按周统计
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:
淄博闪灵网络科技有限公司、珠海金山办公软件有限公司、重庆光之际软件科技有限公司、中煤(西安)地下空间科技发展有限公司、中国电信集团公司、中电鸿信信息科技有限公司、致得科创软件(北京)有限公司、知和环保科技有限公司、支付宝(杭州)信息技术有限公司、镇江周易科技信息有限公司、浙江万方软件有限公司、浙江禾匠信息科技有限公司、浙江大华技术股份有限公司、云校(北京)科技有限公司、云从科技集团股份有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、研华科技(中国)有限公司、新翔软件科技有限公司、新天科技股份有限公司、小米科技有限责任公司、祥崴電子股份有限公司、西门子(中国)有限公司、西安知先信息技术有限公司、西安新软信息科技有限公司、武汉江民网安科技有限公司、卫宁健康科技集团股份有限公司、幃翔精密股份有限公司、微软(中国)有限公司、网旭科技有限公司、万网博通科技有限公司、唐山市柳林自动化设备有限公司、苏州科达科技股份有限公司、松下电器(中国)有限公司、四平市九州易通科技有限公司、四创科技有限公司、思科系统(中国)网络技术有限公司、世邦通信股份有限公司、沈阳明致软件有限公司、深圳誉龙数字技术有限公司、深圳一正技术有限公司、深圳市网域科技技术有限公司、深圳市沙漠风网络科技有限公司、深圳市锐明技术股份有限公司、深圳市普燃计算机软件科技有限公司、深圳市模拟科技有限公司、深圳市麦斯杰网络有限公司、深圳市磊科实业有限公司、深圳市朗驰欣创科技股份有限公司、深圳市吉祥腾达科技有限公司、深圳市惠尔顿信息技术有限公司、深圳市华域数安科技有限公司、深圳市和为顺网络技术有限公司、深圳市航顺芯片技术研发有限公司、深圳市电航科技发展有限公司、深圳前海金银星科技有限公司、深圳齐心好视通云计算有限公司、深圳华视美达信息技术有限公司、上海远丰信息科技(集团)有限公司、上海新网程信息技术股份有限公司、上海纽盾科技股份有限公司、上海汉得信息技术股份有限公司、上海安达通信息安全技术股份有限公司、熵基科技股份有限公司、山西合力思创科技有限公司、厦门四信通信科技有限公司、厦门市灵鹿谷科技有限公司、厦门科汛软件有限公司、人美新媒体科技(北京)有限公司、普联技术有限公司、宁波睿易教育科技股份有限公司、南通点酷网络科技有限公司、南京科远智慧科技集团股份有限公司、猎豹移动公司、联奕科技股份有限公司、理光(中国)投资有限公司、科大讯飞股份有限公司、精华教育科技股份有限公司、京瓷集团、江苏卓易信息科技股份有限公司、佳能(中国)有限公司、华特数字科技有限公司、华大半导体有限公司、湖南壹拾捌号网络技术有限公司、湖南青果软件有限公司、湖南建研信息技术股份有限公司、杭州涂鸦科技有限公司、杭州三汇数字信息技术有限公司、杭州品茗安控信息技术股份有限公司、杭州海康威视数字技术股份有限公司、杭州冠航科技有限公司、杭州博联智能科技股份有限公司、广州纵道软件有限公司、广州网易计算机系统有限公司、广州市凝智科技有限公司、广州市国万电子科技有限公司、广州市奥威亚电子科技有限公司、广州齐博网络科技有限公司、广州南方卫星导航仪器有限公司、广州红帆科技有限公司、广州国微软件科技有限公司、广州鼎成信息科技有限公司、广东旭诚科技有限公司、谷歌公司、歌美斯有限公司、福州网钛软件科技有限公司、福州麦佳软件有限公司、福建三元达控股有限公司、东华软件股份公司、东莞市冬惊鱼网络科技有限公司、大连理工计算机控制工程有限公司、成都依能科技股份有限公司、北京众智创世科技有限公司、北京云创联合科技有限公司、北京映翰通网络技术股份有限公司、北京亿中邮信息技术有限公司、北京亿信华辰软件有限责任公司、北京雪迪龙科技股份有限公司、北京星网锐捷网络技术有限公司、北京网御星云信息技术有限公司、北京通达信科科技有限公司、北京硕人时代科技股份有限公司、北京世纪超星信息技术发展有限责任公司、北京神州数码云科信息技术有限公司、北京派网软件有限公司、北京良精志诚科技有限责任公司、北京金盘鹏图软件技术有限公司、北京宏业超世纪科技有限公司、北京和信康健康科技有限公司、北京和利时集团、北京海腾时代科技有限公司、北京多点在线科技有限公司、北京东方通科技股份有限公司、北京棣南新宇科技有限公司、北京北大方正电子有限公司、北京爱奇艺科技有限公司、蚌埠依爱消防电子有限责任公司、傲拓科技股份有限公司、安徽中汇规划勘测设计研究院股份有限公司、安徽希望网络科技有限公司、ZIONCOM(香港)科技有限公司、小说精品屋、梦想cms、零起飞工作室、帝国软件、ZCNCMS、XnSoft、The PHP Group、SEMCMS、phpaaCMS、PESCMS、Panabit、NETGEAR、muucmf、Lexmark、ICP DAS CO.、HDHCMS、HDCMS、FineCMS、Cisco、bluecms、Apple、Apache Software Foundation、akcms和Adobe。
本周,CNVD发布了《Microsoft发布2021年9月安全更新》。详情参见CNVD网站公告内容。
https://www.cnvd.org.cn/webinfo/show/6846
本周漏洞报送情况统计
本周报送情况如表1所示。 其中 ,北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、北京神州绿盟科技有限公司、新华三技术有限公司、北京奇虎科技有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、河南灵创电子科技有限公司、南京众智维信息科技有限公司、北京信联科汇科技有限公司、北京山石网科信息技术有限公司、杭州海康威视数字技术股份有限公司、北京安帝科技有限公司、内蒙古洞明科技有限公司、广东蓝爵网络安全技术股份有限公司、北京大学、北京天地和兴科技有限公司、北京安华金和科技有限公司、安徽长泰科技有限公司、山东泽鹿安全技术有限公司、上海纽盾科技股份有限公司、重庆都会信息科技有限公司、浙江国利网安科技有限公司、内蒙古云科数据服务股份有限公司、河南信安世纪科技有限公司、北京远禾科技有限公司、京东云安全、中国烟草总公司湖北省公司、平安银河实验室、江苏快页信息技术有限公司、中电长城网际系统应用有限公司、广州安亿信软件科技有限公司、北京惠而特科技有限公司、南京树安信息技术有限公司、浙江木链物联网科技有限公司、浙江大华技术股份有限公司、山石网科通信技术股份有限公司、苏州叶安网络科技有限公司、北京科技大学、北京水木羽林科技有限公司、天讯瑞达通信技术有限公司、深圳市跨越新科技有限公司、西藏熙安信息技术有限责任公司、星云博创科技有限公司、深圳市魔方安全科技有限公司、北京机沃科技有限公司及其他个人白帽子向CNVD提交了5176个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、上海交大和奇安信网神(补天平台)向CNVD共享的白帽子报送的3093条原创漏洞信息。
表1 漏洞报 送情况统计表
本周漏洞按类型和厂商统计
本周, CNVD收录了392个漏洞。WEB应用174个,应用程序100个,网络设备(交换机、路由器等网络端设备)71个,操作系统31个,智能设备(物联网终端设备)9个,安全产品7个。
表2 漏洞按影响类型统计表
图6 本周漏洞按影响类型分布
CNVD整理和发布的漏洞涉及Siemens、友讯电子设备(上海)有限公司、Microsoft等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
表3 漏洞产品涉及厂商分布统计表
本周行业漏洞收录情况
本周, CNVD收录了53个电信行业漏洞,24个移动互联网行业漏洞,19个工控行业漏洞(如下图所示)。其中,“Aruba Networks ArubaOS命令注入漏洞(CNVD-2021-71260)、Siemens SIPROTEC 5 relays缓冲区溢出漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
电信行业漏洞链接:http://telecom.cnvd.org.cn/
移动互联网行业漏洞链接:http://mi.cnvd.org.cn/
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统计
本周重要漏洞安全告警
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Siemens产品安全漏洞
Siemens SINEC NMS是德国西门子(Siemens)公司的 一个网络管理系统 (NMS)。Siemens Teamcenter Active Workspace是一种用于访问Teamcenter系统的web应用程序。Simcenter STAR-CCM+是一个多物理计算流体动力学(CFD)软件。Siemens Teamcenter是一套产品生命周期管理计算机软件应用程序。RUGGEDCOM RX1400是一个多协议智能节点,将以太网交换、路由和应用程序托管功能与各种广域连接选项结合在一起。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞从底层文件系统下载任意文件,获取敏感信息,绕过限制,获得root权限,执行代码等。
CNVD收录的相关漏洞包括:Siemens RUGGEDCOM ROX信息泄露漏洞、Siemens RUGGEDCOM ROX权限提升漏洞、Siemens SINEC NMS跨站请求伪造漏洞、Siemens SINEC NMS路径遍历漏洞、Siemens Teamcenter Active Workspace路径遍历漏洞、Siemens STAR-CCM+ Viewer越界写入漏洞、Siemens Teamcenter访问控制错误漏洞、Siemens Teamcenter代码问题漏洞。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71420
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71419
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71429
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71430
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71434
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71435
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71440
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71439
2、WordPress产品安全漏洞
WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。WordPress Easy Social Icons插件是WordPress开源的一个应用插件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞执行非法SQL语句,获取敏感信息,窃取用户Cookie凭据等。
CNVD收录的相关漏洞包括:WordPress跨站脚本漏洞(CNVD-2021-70735)、WordPress SQL注入漏洞(CNVD-2021-70739、CNVD-2021-70733、CNVD-2021-70738、CNVD-2021-70740)、WordPress underConstruction跨站脚本漏洞、WordPress Gutenberg Template Library&Redux Framework访问控制错误漏洞、WordPress Easy Social Icons跨站脚本漏洞。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70733
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70735
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70739
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70738
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70740
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70743
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70742
https://www.cnvd.org.cn/flaw/show/CNVD-2021-70741
3、Microsoft产品安全漏洞
Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在执行任意代码,控制受影响的系统,从而可安装程序,查看,更改或删除数据,或创建具有完全用户权限的新帐户等。
CNVD收录的相关漏洞包括:Microsoft Windows和Windows Server远程代码执行漏洞(CNVD-2021-71405、CNVD-2021-71406、CNVD-2021-71407、CNVD-2021-71408、CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)。其中,“Microsoft Windows和Windows Server远程代码执行漏洞(CNVD-2021-71410、CNVD-2021-71411、CNVD-2021-71413、CNVD-2021-71414)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71405
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71406
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71407
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71408
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71410
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71411
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71413
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71414
4、IBM产品安全漏洞
IBM Financial Transaction Manager是美国IBM公司的一款金融事务管理器。IBM Planning Analytics是一款计划、预算、预测及分析解决方案。IBM AIX是一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM WebSphere Application Server(WAS)是由IBM遵照开放标准,例如Java EE、XML及Web Services,开发并发行的一种应用服务器。IBM Tivoli Workload Scheduler是一套企业任务调度软件。IBM API Connect是一种综合的端到端API生命周期解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用该漏洞执行客户端代码,获取敏感信息和根特权,注入代码等。
CNVD收录的相关漏洞包括:IBM Financial Transaction Manager跨站脚本漏洞(CNVD-2021-71255)、IBM Planning Analytics信息泄露漏洞(CNVD-2021-71523、CNVD-2021-71522)、IBM AIX权限许可和访问控制问题漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM WebSphere Application Server权限提升漏洞(CNVD-2021-71530)、IBM Tivoli Workload Scheduler缓冲区溢出漏洞、IBM API Connect代码注入漏洞。其中,“IBM AIX权限许可和访问控制问题漏洞(CNVD-2021-71526、CNVD-2021-71529)、IBM API Connect代码注入漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71255
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71523
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71522
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71526
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71530
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71529
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71528
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71527
5、Mozilla Rust内存破坏漏洞(CNVD-2021-71659)
Rust是Mozilla基金会的一款通用、编译型编程语言。本周,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71659
小结:本周,Siemens产品被披露存在多个漏洞,攻击者可利用漏洞从底层文件系统下载任意文件,获取敏感信息,绕过限制,获得root权限,执行代码等。此外,WordPress、Microsoft、IBM等多款产品被披露存在多个漏洞,攻击者可利用该漏洞执行任意代码,获取敏感信息和根特权,注入代码等。另外,Rust may_queue crate through 2020-11-10被披露存在命令注入漏洞。攻击者可利用该漏洞导致发生内存损坏。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案
本周重要漏洞攻击验证情
本周,CNVD建议注意防范以下已公开漏洞攻击验证情况。
1、Tastylgniter跨站脚本漏洞
验证描述
TastyIgniter是一个基于Laravel PHP Framework的免费开源餐厅在线订购系统。
Tastylgniter 3.0.7存在跨站脚本漏洞,该漏洞源于软件中的/account, /reservation, /admin/dashboard,和/admin/system_logs目录中缺少对于用户提交数据的有效验证,攻击者可利用该漏洞执行任意JavaScript。
验证 信息
POC链接:
https://packetstormsecurity.com/files/163843/TastyIgniter-3.0.7-Cross-Site-Scripting.html
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-71457
信息提供者
恒安嘉新(北京)科技股份公司
注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用。请广大用户加强对漏洞的防范工作,尽快下载相关补丁。
关于CNVD
国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。
关于CNCERT
国家计算机网络应急技术处理协调中心(简称“国家互联网应急中心”,英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构。
作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运