信息安全漏洞周报（2022年第43期）

根据国家信息安全漏洞库（CNNVD）统计，本周（2022年10月17日至2022年10月23日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞501个。

接报漏洞情况

本周CNNVD接报漏洞23417个，其中信息技术产品漏洞（通用型漏洞）108个，网络信息系统漏洞（事件型漏洞）648个，漏洞平台推送漏洞22661个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞501个，漏洞新增数量有所下降。从厂商分布来看Oracle公司新增漏洞最多，有79个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到9.38%。新增漏洞中，超危漏洞69个，高危漏洞160个，中危漏洞260个，低危漏洞12个。相应修复率分别为49.28%、75.00%、79.62%和83.33%。根据补丁信息统计，合计371个漏洞已有修复补丁发布，整体修复率为74.05%。

（一）安全漏洞增长数量情况

本周CNNVD采集安全漏洞501个。

图1 近五周漏洞新增数量统计图

（二）安全漏洞分布情况

从厂商分布来看，Oracle公司新增漏洞最多，有79个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	Oracle	79	15.77%
2	Linux基金会	38	7.58%
3	Jenkins	35	6.99%
4	Adobe	29	5.79%
5	WordPress基金会	19	3.79%

本周国内厂商漏洞44个，腾达公司漏洞数量最多，有18个。国内厂商漏洞整体修复率为33.33%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到9.38%。漏洞类型统计如表3所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	跨站脚本	47	9.38%
2	缓冲区错误	41	8.18%
3	代码问题	27	5.39%
4	资源管理错误	20	3.99%
5	SQL注入	14	2.79%
6	操作系统命令注入	12	2.40%
7	格式化字符串错误	10	2.00%
8	输入验证错误	9	1.80%
9	跨站请求伪造	7	1.40%
10	路径遍历	6	1.20%
11	信息泄露	6	1.20%
12	信任管理问题	5	1.00%
13	命令注入	5	1.00%
14	竞争条件问题	4	0.80%
15	访问控制错误	4	0.80%
16	授权问题	3	0.60%
17	注入	2	0.40%
18	加密问题	1	0.20%
19	后置链接	1	0.20%
20	日志信息泄露	1	0.20%
21	其他	276	55.09%

（三）安全漏洞危害等级与修复情况

本周共发布超危漏洞69个，高危漏洞160个，中危漏洞260个，低危漏洞12个。相应修复率分别为49.28%、75.00%、79.62%和83.33%。根据补丁信息统计，合计371个漏洞已有修复补丁发布，整体修复率为74.05%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量（个）	修复数量（个）	修复率
1	超危	69	34	49.28%
2	高危	160	120	75.00%
3	中危	260	207	79.62%
4	低危	12	10	83.33%
合计		501	371	74.05%

（四）本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞	漏洞编号	厂商	漏洞实例	是否修复	危害等级
序号	类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	其他	CNNVD-202210-1279	Oracle	Oracle E-Business Suite 安全漏洞	是	超危
2	操作系统命令注入	CNNVD-202210-1516	Adobe	Adobe Iota 操作系统命令注入漏洞	是	高危
3	SQL注入	CNNVD-202210-1108	WordPress基金会	WordPress Plugin WP Custom Cursors SQL注入漏洞	是	高危

1.Oracle E-Business Suite 安全漏洞（CNNVD-202210-1279）

Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。

Oracle E-Business Suite的Oracle Web Applications Desktop Integrator 12.2.3版本至12.2.11版本存在安全漏洞。攻击者利用该漏洞通过HTTP进行网络访问，从而接管用户账户。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.oracle.com/security-alerts/cpuoct2022.html

2. Adobe Iota 操作系统命令注入漏洞（CNNVD-202210-1516）

Adobe Iota是美国奥多比（Adobe）公司的一个Diy 家庭安全系统。

Adobe Iota All-In-One Security Kit 6.9X版本存在操作系统命令注入漏洞，该漏洞源于 util_set_abode_code函数中发现存在操作系统命令注入漏洞。攻击者利用该漏洞可以使用特制的 HTTP请求执行任意命令。

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://goabode.com/product/iota-security-kit

3. WordPress Plugin WP Custom Cursors SQL注入漏洞（CNNVD-202210-1108）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress Plugin WP Custom Cursors 3.0.1版本及之前版本存在SQL注入漏洞，该漏洞源于该插件在SQL语句中使用参数之前没有正确清理和转义参数。攻击者利用该漏洞可以执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/bb0806d7-21e3-4a65-910c-bf0625c338ec

二、漏洞平台推送情况

本周漏洞平台推送漏洞22661个。

序号	漏洞平台	漏洞总量
1	漏洞盒子	22361
2	补天平台	300
推送总计		22661

三、接报漏洞情况

本周CNNVD接报漏洞756个，其中信息技术产品漏洞（通用型漏洞）108个，网络信息系统漏洞（事件型漏洞）648个。

序号	报送单位	漏洞总量
1	内蒙古奥创科技	617
2	北京启明星辰信息安全技术有限公司	32
3	北京国舜科技股份有限公司	22
4	天津市兴先道科技有限公司	11
5	杭州迪普科技股份有限公司	7
6	北京微步在线科技有限公司	6
7	浪潮电子信息产业股份有限公司	6
8	中兴通讯	6
9	北京安普诺信息技术有限公司	5
10	内蒙古信元网络安全技术股份有限公司	5
11	北京长亭科技有限公司	4
12	杭州海康威视数字技术股份有限公司	4
13	内蒙古中叶信息技术有限责任公司	4
14	上海上讯信息技术股份有限公司	4
15	南京禾盾信息科技有限公司	3
16	北京江南天安科技有限公司	2
17	博智安全科技股份有限公司	2
18	个人	2
19	西安四叶草信息技术有限公司	2
20	新华三技术有限公司	2
21	中电信数智科技有限公司	2
22	中国电信股份有限公司网络安全产品运营中心	2
23	北京机沃科技有限公司	1
24	北京雪诺科技有限公司	1
25	奇安信网神信息技术（北京）股份有限公司	1
26	山东华软金盾软件股份有限公司	1
27	上海斗象信息科技有限公司	1
28	中资网络信息安全科技有限公司	1
报送总计		756

四、接报漏洞通报情况

本周CNNVD接报漏洞通报107份。

序号	报送单位	通报总量
1	深信服科技股份有限公司	19
2	浙江大华技术股份有限公司	16
3	杭州迪普科技股份有限公司	15
4	长春嘉诚信息技术股份有限公司	9
5	长亭科技股份有限公司	7
6	河南悦海数安科技有限公司	5
7	西安四叶草信息技术有限公司	4
8	北京数字观星科技有限公司	3
9	上海上讯信息技术股份有限公司	3
10	新华三技术有限公司	3
11	北京安华金和科技有限公司	2
12	北京启明星辰信息安全技术有限公司	2
13	南京禾盾信息科技有限公司	2
14	任子行网络技术股份有限公司	2
15	上海斗象信息科技有限公司	2
16	北京安天网络安全技术有限公司	1
17	北京华顺信安信息技术有限公司	1
18	北京六方云信息技术有限公司	1
19	北京天融信网络安全技术有限公司	1
20	北京威努特技术有限公司	1
21	北京微步在线科技有限公司	1
22	北京知道创宇信息技术股份有限公司	1
23	杭州安恒信息技术股份有限公司	1
24	杭州默安科技有限公司	1
25	华为技术有限公司	1
26	内蒙古思沃科技有限公司	1
27	上海安识网络科技有公司	1
28	中国电信股份有限公司	1
报送总计		107