情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞2142个，其中高危漏洞530个，中危漏洞1356个，低危漏洞256个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1145个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息			影响描述
1	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-35515、CNVD-2021-35516 CNVD-2021-36526、CNVD-2021-36527 CNVD-2021-37062、CNVD-2021-37123 CNVD-2021-37476、CNVD-2021-37684 CNVD-2021-37682、CNVD-2021-37688		本月，Cisco多款产品存在安全漏洞。攻击者可利用漏洞通过SOAP API请求运行代码，在底层操作系统上执行任意命令，发送大量API请求导致拒绝服务等。本月漏洞包括：Cisco Link Layer Discovery Protocol缓冲区溢出漏洞、Cisco Unified Communications Manager和Cisco Unity Connection代码注入漏洞、Cisco Modeling Labs参数注入漏洞、Cisco Prime Infrastructure操作系统命令注入漏洞、Cisco SD-WAN vManage Software缓冲区溢出漏洞、Cisco DNA Spaces操作系统命令注入漏洞、Cisco DNA Spaces Connector操作系统命令注入漏洞、Cisco SD-WAN vManage拒绝服务漏洞、Cisco SD-WAN vEdge缓冲区溢出漏洞、Cisco Enterprise NFV Infrastructure Software命令注入漏洞等。




		其他编号	CVE-2021-1309、CVE-2021-1362 CVE-2021-1531、CVE-2021-1487 CVE-2021-1479、CVE-2021-1560 CVE-2021-1559、CVE-2021-1275 CVE-2021-1509、CVE-2021-1421




		发布时间	2021/05/28
		影响产品	Cisco Link Layer Discovery Protocol Cisco Unity Connection Cisco Modeling Labs Cisco Prime Infrastructure Cisco SD-WAN vManage Software Cisco DNA Spaces Connector Cisco SD-WAN vManage Cisco SD-WAN vEdge Cisco Enterprise NFV Infrastructure Software Cisco Unified Communications Manager







2	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-32640、CNVD-2021-37144 CNVD-2021-37148、CNVD-2021-32619 CNVD-2021-32633、CNVD-2021-32639 CNVD-2021-32637、CNVD-2021-32645 CNVD-2021-32644、CNVD-2021-32643		本月，IBM多款产品存在安全漏洞。攻击者可利用漏洞获取密码或加密密钥等硬编码凭据，提升权限并完全控制系统，在系统上执行任意命令等。本月漏洞包括：IBM Spectrum Protect Client权限提升漏洞、IBM Security Guardium硬编码凭据漏洞（CNVD-2021-37144）、IBM Security Guardium远程命令执行漏洞、IBM Informix Dynamic Server缓冲区溢出漏洞（CNVD-2021-32619）、IBM Spectrum Scale跨站脚本漏洞（CNVD-2021-32633）、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2021-32639）、IBM Planning Analytics访问控制错误漏洞、IBM Jazz Team Server跨站脚本漏洞（CNVD-2021-32645、CNVD-2021-32643）、IBM Jazz Team Server弱加密算法漏洞等。




		其他编号	CVE-2021-20532、CVE-2021-20426 CVE-2021-20385、CVE-2021-20515 CVE-2021-29666、CVE-2021-20432 CVE-2020-4562、CVE-2021-20519 CVE-2020-4965、CVE-2020-4920




		发布时间	2021/05/26
		影响产品	IBM Spectrum Protect Client IBM Security Guardium IBM Informix Dynamic Server IBM Spectrum Scale IBM Spectrum Protect Plus IBM Planning Analytics IBM Jazz Team Server















3	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-35510、CNVD-2021-35508 CNVD-2021-35512、CNVD-2021-35511 CNVD-2021-35509、CNVD-2021-35513 CNVD-2021-37598、CNVD-2021-32488 CNVD-2021-32487、CNVD-2021-32486		本月，Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞以受害者的特权在系统上执行任意代码，造成拒绝服务攻击等。本月漏洞包括：Microsoft HTTP.sys远程代码执行漏洞、Microsoft Visual Studio远程代码执行漏洞（CNVD-2021-35508）、Microsoft Excel代码执行漏洞（CNVD-2021-35512、CNVD-2021-35511）、Microsoft Hyper-V远程代码执行漏洞、Microsoft Word代码执行漏洞、Microsoft .NET和Visual Studio权限提升漏洞、Microsoft Windows输入验证错误漏洞、Microsoft Office和Microsoft Outlook缓冲区溢出漏洞、Microsoft Raw Image Extension代码注入漏洞等。




		其他编号	CVE-2021-31166、CVE-2021-27068 CVE-2021-28451、CVE-2021-28454 CVE-2021-28476、CVE-2021-28453 CVE-2021-31204、CVE-2021-28311 CVE-2021-28452、CVE-2021-28466




		发布时间	2021/05/19
		影响产品	Microsoft Windows Server Microsoft Visual Studio 2019 Microsoft Excel 2013 Microsoft Excel 2010 Microsoft Windows Server 2008 Microsoft Office Web Apps 2010 Microsoft Windows 10 Microsoft Outlook 2010 Microsoft Raw Image Extension Microsoft Office Web Apps Server 2013 Microsoft Office 2010 Microsoft SharePoint Server 2010 Microsoft Windows Server 2016 Microsoft Outlook 2013 Microsoft Excel 2016 Microsoft Office 2013 Microsoft Windows 7 Microsoft Word 2010 Microsoft Windows Server 2019 Microsoft Office Online Server Microsoft Windows Server 2012 Microsoft Visual Studio 2019 for Mac Microsoft Outlook 2016 Microsoft Windows 8.1 Microsoft Word 2013 Microsoft .NET Microsoft Office 2019 Microsoft Office 2019 for Mac Microsoft Office 2016 Microsoft .NET Core Microsoft 365 Apps Microsoft 365 Apps for Enterprise Microsoft Word 2016 Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2013 Microsoft SharePoint Server 2019







4	ASUS多款产品存在安全漏洞	CNVD编号	CNVD-2021-36007、CNVD-2021-36006 CNVD-2021-36005、CNVD-2021-36004 CNVD-2021-36010、CNVD-2021-36009 CNVD-2021-36008、CNVD-2021-36013 CNVD-2021-36012、CNVD-2021-36011		本月，ASUS多款产品存在安全漏洞。攻击者可利用该漏洞使用泄漏异常终止Web服务，在获得管理员权限后，可以启动命令注入，任意执行命令等。本月漏洞包括：ASUS BMC Firmware安全特征问题漏洞（CNVD-2021-36007、CNVD-2021-36006、CNVD-2021-36005、CNVD-2021-36004、CNVD-2021-36010、CNVD-2021-36009、CNVD-2021-36008、CNVD-2021-36012、CNVD-2021-36011）、ASUS BMC Firmware操作系统命令注入漏洞（CNVD-2021-36013）等。




		其他编号	CVE-2021-28196、CVE-2021-28189 CVE-2021-28194、CVE-2021-28190 CVE-2021-28199、CVE-2021-28197 CVE-2021-28198、CVE-2021-28204 CVE-2021-28201、CVE-2021-28195




		发布时间	2021/05/20
		影响产品	ASUS BMC Firmware
5	Foxit多款产品存在安全漏洞	CNVD编号	CNVD-2021-34749、CNVD-2021-34118 CNVD-2021-34117、CNVD-2021-34119 CNVD-2021-36467、CNVD-2021-36471 CNVD-2021-36470、CNVD-2021-36469 CNVD-2021-36468、CNVD-2021-36475		本月，Foxit多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息，在当前进程的上下文中执行代码。本月漏洞包括：Foxit Reader代码执行漏洞、Foxit Studio Photo越界写入漏洞（CNVD-2021-34118、CNVD-2021-34119）、Foxit Studio Photo缓冲区溢出漏洞（CNVD-2021-34117）、Foxit Reader U3D文件解析越界读取远程代码执行漏洞（CNVD-2021-36467、CNVD-2021-36469）、Foxit Reader U3D文件解析越界读取信息泄露漏洞（CNVD-2021-36471、CNVD-2021-36468）、Foxit Reader U3D文件解析越界写入远程代码执行漏洞、Foxit Reader释放后重用远程代码执行漏洞等。




		其他编号	CVE-2021-31473、CVE-2021-31437 CVE-2021-31438、CVE-2021-31434 CVE-2021-31468、CVE-2021-31464 CVE-2021-31465、CVE-2021-31466 CVE-2021-31467、CVE-2021-31460




		发布时间		2021/05/21
		影响产品		Foxit Studio Photo Foxit Reader
6	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2021-33866、CNVD-2021-34722 CNVD-2021-37271、CNVD-2021-37270 CNVD-2021-37269、CNVD-2021-37268 CNVD-2021-37595、CNVD-2021-37749 CNVD-2021-37750、CNVD-2021-37944		本月，Siemens多款产品存在安全漏洞。攻击者可利用漏洞泄露任意文件，在当前进程的上下文中执行代码等。本月漏洞包括：Siemens DIGSI 4权限许可和访问控制问题漏洞、Siemens Solid Edge缓冲区溢出漏洞、Siemens Solid Edge XML外部实体引用漏洞（CNVD-2021-37271）、Siemens Solid Edge不可信指针引用漏洞、Siemens Solid Edge越界写入漏洞（CNVD-2021-37269）、Siemens Solid Edge堆栈缓冲区溢出漏洞、Siemens SmartVNC缓冲区溢出漏洞、Siemens SmartVNC资源管理错误漏洞、Siemens SmartVNC内存越界访问漏洞、Siemens SIMATIC S7-1200和S7-1500 CPU系列内存保护绕过漏洞等。




		其他编号	CVE-2020-25245、CVE-2021-27490 CVE-2021-27492、CVE-2021-27496 CVE-2021-27488、CVE-2021-27494 CVE-2021-27383、CVE-2021-27385 CVE-2021-27384、CVE-2020-15782




		发布时间	2021/05/27
		影响产品	Siemens DIGSI 4 Siemens Solid Edge Siemens Solid Edge SE2020 Siemens SmartVNC Siemens SIMATIC S7-1500 Software Controller Siemens Solid Edge SE2021 Siemens SIMATIC S7-PLCSIM Advanced Siemens SIMATIC Drive Controller family Siemens SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. SIPLUS variants) Siemens SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. SIPLUS variants) Siemens SIMATIC S7-1200 CPU family (incl. SIPLUS variants) Siemens SIMATIC S7-1500 CPU family (incl. related ET200 CPUs and SIPLUS variants)
7	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-34523、CNVD-2021-34704 CNVD-2021-34703、CNVD-2021-34709 CNVD-2021-34707、CNVD-2021-34712 CNVD-2021-35166、CNVD-2021-35165 CNVD-2021-35164、CNVD-2021-36479		本月，Google多款产品存在安全漏洞。攻击者可利用漏洞通过特制的HTML页面利用堆损坏进行潜在攻击，绕过导航限制，获得提升的权限等。本月漏洞包括：Google Chrome V8安全绕过漏洞、Google Chromium代码执行漏洞（CNVD-2021-34704、CNVD-2021-34709）、Google Chrome资源管理错误漏洞（CNVD-2021-34703、CNVD-2021-34707）、Google Chromium缓冲区溢出漏洞（CNVD-2021-34712）、Google Chrome ANGLE堆缓冲区溢出漏洞、Google Chrome扩展安全绕过漏洞（CNVD-2021-35165）、Google Chrome UI下载安全绕过漏洞、Google Android pb_write权限提升漏洞等。




		其他编号	CVE-2021-21231、CVE-2021-30517 CVE-2021-30520、CVE-2021-30513 CVE-2021-30519、CVE-2021-30511 CVE-2021-21233、CVE-2021-21228 CVE-2021-21229、CVE-2021-0488




		发布时间	2021/05/15
		影响产品	Google Chrome Google Android
8	Linux多款产品存在安全漏洞	CNVD编号	CNVD-2021-33239、CNVD-2021-34001 CNVD-2021-34677、CNVD-2021-34682 CNVD-2021-34716、CNVD-2021-34748 CNVD-2021-36261、CNVD-2021-37209 CNVD-2021-37740、CNVD-2021-37751		本月，Linux多款产品存在安全漏洞。攻击者可利用漏洞导致系统崩溃或获取内部内核信息，注入数据包或泄露选定的片段，通过嘈杂的Linux内核的ioctl()强制使用一个释放的内存区域，以触发拒绝服务，并可能运行代码。本月漏洞包括：Linux kernel拒绝服务漏洞（CNVD-2021-33239）、Linux kernel越界内存访问漏洞、Linux kernel输入验证错误漏洞（CNVD-2021-34677、CNVD-2021-34682）、Linux kernel权限提升漏洞（CNVD-2021-34716）、Linux Kernel释放后重用漏洞（CNVD-2021-34748）、Linux Kernel资源管理错误漏洞、Linux targetcli-fb访问控制错误漏洞、Linux kernel竞争条件问题漏洞（CNVD-2021-37740）、Linux Kernel eBPF权限提升漏洞等。




		其他编号	CVE-2020-36322、CVE-2021-3506 CVE-2020-26147、CVE-2020-24586 CVE-2021-32399、CVE-2021-23134 CVE-2021-3483、CVE-2020-10699 CVE-2021-23133、CVE-2021-31440




		发布时间	2021/05/28
		影响产品	Linux targetcli-fb Linux Kernel

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月应用程序占比例较大。与前12个月相比，本月WEB应用、网络设备（交换机、路由器等网络端设备）、安全产品、智能设备（物联网终端设备）的数量处于高位，应用程序、操作系统、数据库漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	深圳市磊科实业有限公司NR235P存在弱口令漏洞	CNVD-2021-26084	2021/5/8
2	杭州冠航科技有限公司GS系列企业应用网关存在弱口令漏洞	CNVD-2021-25880	2021/5/8
3	上海牛迈网络科技有限公司建站系统存在万能密码登录漏洞	CNVD-2021-24998	2021/5/8
4	碧海威L7家庭网关存在弱口令漏洞	CNVD-2021-25885	2021/5/8
5	Ke361存在SQL注入漏洞（CNVD-2021-24525）	CNVD-2021-24525	2021/5/7

表2 本月被关注漏洞TOP5

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞2142个，与前12个月平均收录数量1821个相比，处于高位；本月高危漏洞530个，与前12个月高危漏洞平均收录数量581个相比，处于低位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月20日发布的安全漏洞数量最多，都高达230个，主要是因为收录了WordPress、IBM QRadar SIEM等多款产品存在的多个漏洞。

2. 单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。南京众智维信息科技有限公司、北京信联科汇科技有限公司、北京华顺信安科技有限公司、北京山石网科信息技术有限公司、杭州海康威视数字技术股份有限公司、河南信安世纪科技有限公司、中国电信股份有限公司网络安全产品运营中心、北京天地和兴科技有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、安徽长泰信息安全服务有限公司、新疆海狼科技有限公司、杭州木链物联网科技有限公司、广州易东信息安全技术有限公司、江西省掌控者信息安全技术有限公司、北京安帝科技有限公司、山东云天安全技术有限公司、北京墨云科技有限公司、小安（北京）科技有限公司、福建省海峡信息技术有限公司、武汉明嘉信信息安全检测评估有限公司、上海纽盾科技股份有限公司、浙江御安信息技术有限公司、北京顶象技术有限公司、北京圣博润高新技术股份有限公司、北京君云天下科技有限公司、北京远禾科技有限公司、广州安亿信软件科技有限公司、山东新潮信息技术有限公司、成都思维世纪科技有限公司、星云博创科技有限公司、四川哨兵信息科技有限公司、北京机沃科技有限公司、联想全球安全实验室、北京聚信得仁科技有限公司、博雅正链（北京）科技有限公司、博智安全科技股份有限公司、杭州美创科技有限公司、上海市信息安全测评认证中心、深圳市和为顺网络技术有限公司、深圳市魔方安全科技有限公司、武汉绿色网络信息服务有限责任公司、浙江大学控制科学与工程学院、广西塔易信息技术有限公司、贵州多彩宝互联网服务有限公司、国网山东省电力公司、黑龙江安衡讯信息安全测评技术服务有限公司、京东云安全、清远职业技术学院、上海心河信息技术有限公司、上海上讯信息技术股份有限公司、武汉安域信息安全技术有限公司、新疆天山智汇信息科技有限公司、浙江东安检测技术有限公司、中移（杭州）信息技术有限公司及其他个人白帽子向CNVD提交了14165个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的9323条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
上海交大	3991	3991
奇安信网神（补天平台）	2743	2743
斗象科技（漏洞盒子）	2589	2589
北京神州绿盟科技有限公司	914	24
哈尔滨安天科技集团股份有限公司	754	0
北京天融信网络安全技术有限公司	749	16
华为技术有限公司	541	0
深信服科技股份有限公司	452	0
新华三技术有限公司	443	0
北京数字观星科技有限公司	381	0
远江盛邦（北京）网络安全科技股份有限公司	363	363
恒安嘉新（北京）科技股份公司	250	0
北京启明星辰信息安全技术有限公司	242	11
国瑞数码零点实验室	200	0
卫士通信息产业股份有限公司	196	0
中国电信集团系统集成有限责任公司	54	54
北京奇虎科技有限公司	45	45
西安四叶草信息技术有限公司	26	26
内蒙古奥创科技有限公司	14	14
杭州安恒信息技术股份有限公司	12	12
北京知道创宇信息技术股份有限公司	7	1
南京联成科技发展股份有限公司	5	5
北京智游网安科技有限公司	1	1
南京众智维信息科技有限公司	217	217
北京信联科汇科技有限公司	200	200
北京华顺信安科技有限公司	169	0
北京山石网科信息技术有限公司	151	151
杭州海康威视数字技术股份有限公司	146	146
河南信安世纪科技有限公司	122	122
中国电信股份有限公司网络安全产品运营中心	102	27
北京天地和兴科技有限公司	77	77
北京华云安信息技术有限公司	73	73
河南灵创电子科技有限公司	72	72
安徽长泰信息安全服务有限公司	64	64
新疆海狼科技有限公司	49	49
杭州迪普科技股份有限公司	48	0
杭州木链物联网科技有限公司	44	44
广州易东信息安全技术有限公司	33	33
江西省掌控者信息安全技术有限公司	31	31
北京安帝科技有限公司	28	28
山东云天安全技术有限公司	25	25
北京墨云科技有限公司	15	15
小安（北京）科技有限公司	15	15
福建省海峡信息技术有限公司	12	12
武汉明嘉信信息安全检测评估有限公司	12	12
上海纽盾科技股份有限公司	11	11
浙江御安信息技术有限公司	9	9
北京顶象技术有限公司	8	8
北京圣博润高新技术股份有限公司	8	8
西门子（中国）有限公司	8	0
北京君云天下科技有限公司	6	6
北京远禾科技有限公司	6	6
广州安亿信软件科技有限公司	6	6
山东新潮信息技术有限公司	6	6
成都思维世纪科技有限公司	5	5
星云博创科技有限公司	5	5
四川哨兵信息科技有限公司	4	4
北京机沃科技有限公司	3	3
联想全球安全实验室	3	3
北京聚信得仁科技有限公司	2	2
博雅正链（北京）科技有限公司	2	2
博智安全科技股份有限公司	2	2
杭州美创科技有限公司	2	2
上海市信息安全测评认证中心	2	2
深圳市和为顺网络技术有限公司	2	2
深圳市魔方安全科技有限公司	2	2
武汉绿色网络信息服务有限责任公司	2	2
浙江大学控制科学与工程学院	2	2
广西塔易信息技术有限公司	1	1
贵州多彩宝互联网服务有限公司	1	1
国网山东省电力公司	1	1
黑龙江安衡讯信息安全测评技术服务有限公司	1	1
京东云安全	1	1
清远职业技术学院	1	1
上海心河信息技术有限公司	1	1
上海上讯信息技术股份有限公司	1	1
武汉安域信息安全技术有限公司	1	1
新疆天山智汇信息科技有限公司	1	1
浙江东安检测技术有限公司	1	1
中移（杭州）信息技术有限公司	1	1
个人	2747	2747
合计	2142（去重）	14165

表3 单位和个人上报漏洞统计