信息安全漏洞周报（2022年第34期）

根据国家信息安全漏洞库（CNNVD）统计，本周（2022年8月15日至2022年8月21日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞370个。

接报漏洞情况

本周CNNVD接报漏洞4507个，其中信息技术产品漏洞（通用型漏洞）116个，网络信息系统漏洞（事件型漏洞）61个，漏洞平台推送漏洞4330个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞370个，漏洞新增数量有所下降。从厂商分布来看WWBN（全球广播网）新增漏洞最多，有18个；从漏洞类型来看，缓冲区错误类的安全漏洞占比最大，达到18.65%。新增漏洞中，超危漏洞69个，高危漏洞128个，中危漏洞170个，低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计，合计256个漏洞已有修复补丁发布，整体修复率为69.19%。

（一）安全漏洞增长数量情况

本周CNNVD采集安全漏洞370个。

图1 近五周漏洞新增数量统计图

（二）安全漏洞分布情况

从厂商分布来看，WWBN（全球广播网）新增漏洞最多，有18个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	WWBN（全球广播网）	18	4.86%
2	Intel	13	3.51%
3	WordPress基金会	13	3.51%
4	谷歌	10	2.70%
5	Esri	10	2.70%

本周国内厂商漏洞15个，友讯公司漏洞数量最多，有4个。国内厂商漏洞整体修复率为60.00%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大，达到18.65%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	缓冲区错误	69	18.65%
2	跨站脚本	36	9.73%
3	SQL注入	24	6.49%
4	代码问题	22	5.95%
5	授权问题	9	2.43%
6	操作系统命令注入	9	2.43%
7	资源管理错误	8	2.16%
8	路径遍历	8	2.16%
9	输入验证错误	6	1.62%
10	代码注入	6	1.62%
11	跨站请求伪造	6	1.62%
12	访问控制错误	5	1.35%
13	注入	5	1.35%
14	命令注入	3	0.81%
15	信任管理问题	3	0.81%
16	数据伪造问题	3	0.81%
17	竞争条件问题	2	0.54%
18	加密问题	2	0.54%
19	日志信息泄露	1	0.27%
20	安全特征问题	1	0.27%
21	环境问题	1	0.27%
22	参数注入	1	0.27%
23	其他	140	37.84%

（三）安全漏洞危害等级与修复情况

本周共发布超危漏洞69个，高危漏洞128个，中危漏洞170个，低危漏洞3个。相应修复率分别为63.77%、83.59%、60.00%和100.00%。根据补丁信息统计，合计256个漏洞已有修复补丁发布，整体修复率为69.19%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量（个）	修复数量（个）	修复率
1	超危	69	44	63.77%
2	高危	128	107	83.59%
3	中危	170	102	60.00%
4	低危	3	3	100.00%
合计		370	256	69.19%

（四）本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞	漏洞编号	厂商	漏洞实例	是否修复	危害等级
序号	类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	代码问题	CNNVD-202208-3066	WordPress基金会	WordPress theme GREYD.SUITE 代码问题漏洞	是	超危
2	其他	CNNVD-202208-3044	Apache基金会	Apache OpenOffice 安全漏洞	是	高危
3	其他	CNNVD-202208-3348	苹果	Apple macOS Monterey 安全漏洞	是	高危

1.WordPress theme GREYD.SUITE 代码问题漏洞（CNNVD-202208-3066）

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress theme是WordPress的一款主题。

WordPress theme GREYD.SUITE存在代码问题漏洞，该漏洞源于没有正确验证上传的自定义字体包，也没有执行任何授权或跨站请求伪造检查。攻击者利用该漏洞可上传任意文件，导致远程代码执行。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/c330f92b-1e21-414f-b316-d5e97cb62bd1

2. Apache OpenOffice 安全漏洞（CNNVD-202208-3044）

Apache OpenOffice是美国阿帕奇（Apache）基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。

Apache OpenOffice 4.1.13之前版本存在安全漏洞，该漏洞源于密码加密强度不足，攻击者利用该漏洞可获取用户敏感信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.openoffice.org/security/cves/CVE-2022-37401.html

3. Apple macOS Monterey 安全漏洞（CNNVD-202208-3348）

Apple macOS Monterey是美国苹果（Apple）公司的用于麦金塔桌面操作系统macOS的第18个主要版本。

Apple macOS Monterey 12.5.1之前版本存在安全漏洞，该漏洞源于越界写入问题。攻击者可利用该漏洞以管理员权限执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.apple.com/en-us/HT213413

二、漏洞平台推送情况

本周漏洞平台推送漏洞4330个。

序号	漏洞平台	漏洞总量
1	漏洞众包响应平台	3538
2	漏洞盒子	737
3	补天平台	55
推送总计		4330

三、接报漏洞情况

本周CNNVD接报漏洞177个，其中信息技术产品漏洞（通用型漏洞）116个，网络信息系统漏洞（事件型漏洞）61个。

序号	报送单位	漏洞总量
1	杭州安恒信息技术股份有限公司	54
2	河南听潮盛世信息技术有限公司	21
3	北京云测信息技术有限公司	20
4	广东网安科技有限公司	15
5	西安四叶草信息技术有限公司	12
6	北京华顺信安信息技术有限公司	9
7	天津市兴先道科技有限公司	8
8	三六零数字安全科技集团有限公司	7
9	河南悦海数安科技有限公司	4
10	个人	3
11	河南东方云盾信息技术有限公司	3
12	天翼数智科技（北京）有限公司	3
13	奇安信网神信息技术（北京）股份有限公司	3
14	北京天融信网络安全技术有限公司	2
15	北京威努特技术有限公司	2
16	浙江宇视科技有限公司	2
17	北京微步在线科技有限公司	1
18	北京长亭科技有限公司	1
19	福建银数信息技术有限公司	1
20	福州大学	1
21	墨菲未来科技(北京)有限公司	1
22	深圳融安网络科技有限公司	1
23	苏州棱镜七彩信息科技有限公司	1
24	西安电子科技大学	1
25	西南交通大学	1
报送总计		177

四、接报漏洞通报情况

本周CNNVD接报漏洞通报119份。

序号	报送单位	通报总量
1	天翼安全科技有限公司	15
2	三六零数字安全科技集团有限公司	15
3	杭州迪普科技股份有限公司	14
4	深信服科技股份有限公司	13
5	太极计算机股份有限公司	10
6	北京华云安信息技术有限公司	6
7	北京数字观星科技有限公司	6
8	浙江大华技术股份有限公司	4
9	北京神州绿盟科技有限公司	3
10	杭州用九智汇科技有限公司	3
11	河南悦海数安科技有限公司	3
12	天翼数智科技（北京）有限公司	3
13	北京安华金和科技有限公司	2
14	北京海泰方圆科技股份有限公司	2
15	北京永信至诚科技股份有限公司	2
16	北京知道创宇信息技术股份有限公司	2
17	奇安信网神信息技术（北京）股份有限公司	2
18	长亭科技股份有限公司	2
19	浙江宇视科技有限公司	2
20	北京国舜科技股份有限公司	1
21	北京启明星辰信息安全技术有限公司	1
22	北京天融信网络安全技术有限公司	1
23	杭州安恒信息技术股份有限公司	1
24	华为技术有限公司	1
25	内蒙古思沃科技有限公司	1
26	上海安识网络科技有公司	1
27	上海斗象信息科技有限公司	1
28	亚信科技（成都）有限公司	1
29	长春嘉诚信息技术股份有限公司	1
报送总计		119