您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(2022年第47期)
(2022年11月14日至2022年11月20日)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2022年11月14日至2022年11月20日)安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞484個。
接報漏洞情況
本周CNNVD接報漏洞14392個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)144個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)173個,漏洞平臺推送漏洞14075個。
重大漏洞通報
F5 BIG-IP 安全漏洞(CNNVD-202211-2929、CVE-2022-41622):攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。F5 BIG-IP 13.1.0,13.1.5,14.1.0等,F(xiàn)5 BIG-IP 15.1.8,16.1.0等,F(xiàn)5 BIG-IQ Centralized Management 7.1.0,F(xiàn)5 BIG-IQ Centralized Management 8.0.0,F(xiàn)5 BIG-IQ Centralized Management 8.2.0等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了修復漏洞的升級版本,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞484個,漏洞新增數(shù)量有所下降。從廠商分布來看WordPress基金會新增漏洞最多,有76個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達到14.46%。新增漏洞中,超危漏洞51個,高危漏洞122個,中危漏洞303個,低危漏洞8個。相應修復率分別為76.47%、72.95%、86.47%和87.50%。根據(jù)補丁信息統(tǒng)計,合計397個漏洞已有修復補丁發(fā)布,整體修復率為82.02%。
(一) 安全漏洞增長數(shù)量情況
本周CNNVD采集安全漏洞484個。
圖1 近五周漏洞新增數(shù)量統(tǒng)計圖
(二) 安全漏洞分布情況
從廠商分布來看,WordPress基金會新增漏洞最多,有76個。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計表
本周國內(nèi)廠商漏洞46個,系微公司漏洞數(shù)量最多,有24個。國內(nèi)廠商漏洞整體修復率為66.04%。請受影響用戶關(guān)注廠商修復情況,及時下載補丁修復漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達到14.46%。漏洞類型統(tǒng)計如表3所示。
表2 漏洞類型統(tǒng)計表
(三) 安全漏洞危害等級與修復情況
本周共發(fā)布超危漏洞51個,高危漏洞122個,中危漏洞303個,低危漏洞8個。相應修復率分別為76.47%、72.95%、86.47%和87.50%。根據(jù)補丁信息統(tǒng)計,合計397個漏洞已有修復補丁發(fā)布,整體修復率為82.02%。詳細情況如表3所示。
表3 漏洞危害等級與修復情況
(四) 本周重要漏洞實例
本周重要漏洞實例如表4所示。
表4 本期重要漏洞實例
1.WordPress plugin WPForms Pro 安全漏洞(CNNVD-202211-2696)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應用插件。
WordPress plugin WPForms Pro 1.7.7 之前版本存在安全漏洞,該漏洞源于在生成 CSV 文件時不驗證其表單數(shù)據(jù)。攻擊者可利用該漏洞執(zhí)行 CSV 注入攻擊。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://wpscan.com/vulnerability/0eae5189-81af-4344-9e96-dd1f4e223d41
2. Google Android 安全漏洞(CNNVD-202211-3038)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。
Google Android 存在安全漏洞,該漏洞源于在SharedMetadata.cpp的shared_metadata_init函數(shù)中存在整數(shù)溢出問題,從而導致越界寫入。攻擊者利用該漏洞可以升級權(quán)限。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://source.android.com/docs/security/bulletin/pixel/2022-11-01
3. IBM Cloud Pak for Security 輸入驗證錯誤漏洞(CNNVD-202211-2884)
IBM Cloud Pak for Security是美國國際商業(yè)機器(IBM)公司的一款應用軟件。
IBM Cloud Pak for Security(CP4S) 1.10.0.0版本至1.10.2.0版本存在輸入驗證錯誤漏洞,該漏洞源于對用戶的輸入驗證不當。攻擊者利用該漏洞可獲取用戶敏感信息或執(zhí)行未經(jīng)授權(quán)的操作。
目前廠商已發(fā)布升級補丁以修復漏洞,補丁獲取鏈接:
https://www.ibm.com/support/pages/node/6833586
二、漏洞平臺推送情況
本周漏洞平臺推送漏洞14075個。
三、接報漏洞情況
本周CNNVD接報漏洞317個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)144個,網(wǎng)絡信息系統(tǒng)漏洞(事件型漏洞)173個。
(詳情略)
四、收錄漏洞通報情況
本周CNNVD收錄漏洞通報69份。
(詳情略)
五、重大漏洞通報
CNNVD 關(guān)于F5 BIG-IP 安全漏洞的通報
近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于F5 BIG-IP 安全漏洞(CNNVD-202211-2929、CVE-2022-41622)情況的報送。攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。F5 BIG-IP 13.1.0,13.1.5,14.1.0,14.1.5,15.1.0,F(xiàn)5 BIG-IP 15.1.8,16.1.0,16.1.3,17.0.0,F(xiàn)5 BIG-IQ Centralized Management 7.1.0,F(xiàn)5 BIG-IQ Centralized Management 8.0.0,F(xiàn)5 BIG-IQ Centralized Management 8.2.0等多個版本均受此漏洞影響。目前,F(xiàn)5官方已經(jīng)發(fā)布了修復漏洞的升級版本,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。
. 漏洞介紹
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IP中存在安全漏洞,漏洞源于對用戶輸入驗證不當導致,遠程攻擊者可以發(fā)送特制的 HTTP 請求以執(zhí)行未經(jīng)授權(quán)的操作。
. 危害影響
F5 BIG-IP 13.1.0,13.1.5,14.1.0,14.1.5,15.1.0,F(xiàn)5 BIG-IP 15.1.8,16.1.0,16.1.3,17.0.0,F(xiàn)5 BIG-IQ Centralized Management 7.1.0,F(xiàn)5 BIG-IQ Centralized Management 8.0.0,F(xiàn)5 BIG-IQ Centralized Management 8.2.0等多個版本均受此漏洞影響。
. 修復建議
目前,F(xiàn)5官方已經(jīng)發(fā)布了修復漏洞的升級版本,建議用戶及時確認是否受到漏洞影響,盡快采取修補措施。官方鏈接如下:
https://support.f5.com/csp/article/K94221585
來源:CNNVD安全動態(tài)