漏洞信息月度通报2021年第6期-内蒙古电子信息学院信息中心

网络信息安全

漏洞信息月度通报2021年第6期

时间： 2021-07-06 00:00 点击：

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞2418个，其中高危漏洞748个，中危漏洞1418个，低危漏洞252个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1927个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-38673、CNVD-2021-38671 CNVD-2021-38670、CNVD-2021-38676 CNVD-2021-38675、CNVD-2021-38674 CNVD-2021-38768、CNVD-2021-39041 CNVD-2021-39675、CNVD-2021-40868	本月，IBM多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息，消耗内存资源，读取和写入Cognos Analytics系统的文件，执行在Web UI中嵌入任意的JavaScript代码，以提升的权限在系统上执行任意代码等。本月漏洞包括：IBM Cognos Analytics XML外部实体注入漏洞（CNVD-2021-38673）、IBM Cognos Analytics命令执行漏洞、IBM Cognos Analytics跨站脚本漏洞（CNVD-2021-38670）、IBM Cognos Analytics信息泄露漏洞（CNVD-2021-38674、CNVD-2021-38768）、IBM Spectrum Scale权限提升漏洞（CNVD-2021-38676）、IBM Security Verify Access缓冲区溢出漏洞、IBM WebSphere eXtreme Scale信息泄露漏洞（CNVD-2021-39041）、IBM Engineering Systems Design Rhapsody访问控制错误漏洞、IBM QRadar SIEM任意命令执行漏洞等。




		其他编号	CVE-2020-4300、CVE-2020-4561 CVE-2019-4653、CVE-2021-29740 CVE-2021-29665、CVE-2019-4723 CVE-2019-4471、CVE-2020-4332 CVE-2020-4495、CVE-2020-4979




		发布时间	2021/06/02
		影响产品	IBM Cognos Analytics IBM Spectrum Scale IBM Security Verify Access IBM WebSphere Exteme Scale IBM Engineering Systems Design Rhapsody IBM QRadar SIEM







2	Linux多款产品存在安全漏洞	CNVD编号	CNVD-2021-39045、CNVD-2021-39548 CNVD-2021-40505、CNVD-2021-43363 CNVD-2021-43366、CNVD-2021-43364 CNVD-2021-43372、CNVD-2021-43385 CNVD-2021-43521、CNVD-2021-43523	本月，Linux多款产品存在安全漏洞。攻击者可利用漏洞从本地特权升级到root，生成非法的代码段，修改网络系统或组件的预期的执行控制流，导致拒绝服务或泄露内部内核信息等。本月漏洞包括：Linux kernel缓冲区溢出漏洞（CNVD-2021-39045）、Linux kernel越界内存写入漏洞、Linux kernel安全特征问题漏洞、Linux kernel释放后重用漏洞（CNVD-2021-43363、CNVD-2021-43364、CNVD-2021-43521、CNVD-2021-43523）、Linux kernel llcp_sock_bind()拒绝服务漏洞、Linux kernel llcp_sock_connect()权限提升漏洞、Linux kernel代码注入漏洞（CNVD-2021-43385）等。




		其他编号	CVE-2021-33200、CVE-2021-31916 CVE-2020-25705、CVE-2020-36385 CVE-2020-25670、CVE-2020-36387 CVE-2020-25671、CVE-2020-10741 CVE-2018-25015、CVE-2019-25045




		发布时间	2021/06/19
		影响产品	Linux kernel















3	WordPress多款产品存在安全漏洞	CNVD编号	CNVD-2021-39140、CNVD-2021-44297 CNVD-2021-44300、CNVD-2021-44302 CNVD-2021-44301、CNVD-2021-44303 CNVD-2021-44304、CNVD-2021-44306 CNVD-2021-44308、CNVD-2021-44970	本月，WordPress多款产品存在安全漏洞。攻击者可以利用漏洞通过插件的工具的恶意构造子页面参数，允许高特权用户包含任何本地php文件，让登录的管理员在其中设置任意的XSS有效载荷，获取数据库敏感信息和管理员cookie等。本月漏洞包括：WordPress插件SQL注入漏洞（CNVD-2021-44300、CNVD-2021-39140）、WordPress插件跨站脚本漏洞（CNVD-2021-44297）、WordPress跨站脚本漏洞（CNVD-2021-44303、CNVD-2021-44304、CNVD-2021-44302）、WordPress授权问题漏洞（CNVD-2021-44301）、WordPress路径遍历漏洞（CNVD-2021-44306）、WordPress代码问题漏洞（CNVD-2021-44308）、WordPress WP-CLI信任管理问题漏洞等。




		其他编号	CVE-2021-24295、CVE-2021-24333 CVE-2021-24340、CVE-2021-24235 CVE-2021-24188、CVE-2021-24234 CVE-2021-24233、CVE-2021-24242 CVE-2021-24240、CVE-2021-29504




		发布时间	2021/06/23
		影响产品	WordPress CleanTalk WordPress Plugin WordPress Content Copy Protection ＆ Prevent Image Save WordPress plugin WordPress WP Statistics WordPress Goto WordPress theme WordPress WP Maintenance Mode ＆ Site Under Construction WordPress plugin WordPress Ivory Search WordPress plugin WordPress Cooked Pro WordPress plugin WordPress plugin online course solution WordPress Business Hours Pro WordPress plugin WordPress WP-CLI







4	NETGEAR多款产品存在安全漏洞	CNVD编号	CNVD-2021-39193、CNVD-2021-44754 CNVD-2021-44777、CNVD-2021-44783 CNVD-2021-44782、CNVD-2021-44781 CNVD-2021-44780、CNVD-2021-44786 CNVD-2021-44785、CNVD-2021-44784	本月，NETGEAR多款产品存在安全漏洞。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求，劫持管理员的认证，并未经用户同意更改产品的设置，在系统上执行任意Shell命令等。本月漏洞包括：NETGEAR GS108Ev3跨站请求伪造漏洞、多款NETGEAR产品跨站请求伪造漏洞（CNVD-2021-44777、CNVD-2021-39193）、多款NETGEAR产品操作系统命令注入漏洞（CNVD-2021-44783、CNVD-2021-44782、CNVD-2021-44786、CNVD-2021-44785、CNVD-2021-44784）、多款NETGEAR产品命令注入漏洞（CNVD-2021-44781、CNVD-2021-44780）等。




		其他编号	CVE-2017-18848、CVE-2020-5641 CVE-2020-14432、CVE-2020-14438 CVE-2020-14437、CVE-2020-14436 CVE-2020-14435、CVE-2020-14441 CVE-2020-14440、CVE-2020-14439




		发布时间	2021/06/24
		影响产品	NETGEAR R8500 NETGEAR R7300 NETGEAR R6300v2 NETGEAR AC1450 NETGEAR GS108Ev3 NETGEAR RBK752 NETGEAR RBR750 NETGEAR RBS750 NETGEAR RBK753 NETGEAR RBK753S NETGEAR RBK842 NETGEAR RBR840 NETGEAR RBS840 NETGEAR RBK852 NETGEAR RBK853 NETGEAR RBR850 NETGEAR RBS850 NETGEAR SRK60 NETGEAR SRS60 NETGEAR SRR60 NETGEAR SRK60B03 NETGEAR SRK60B04 NETGEAR SRK60B05 NETGEAR SRK60B06
5	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-39509、CNVD-2021-39508 CNVD-2021-39512、CNVD-2021-39511 CNVD-2021-39510、CNVD-2021-39516 CNVD-2021-39517、CNVD-2021-41120 CNVD-2021-41118、CNVD-2021-41121	本月，Microsoft多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括：Microsoft Excel远程代码执行漏洞（CNVD-2021-39509、CNVD-2021-39508、CNVD-2021-39512、CNVD-2021-39511、CNVD-2021-39510、CNVD-2021-39516、CNVD-2021-39517）、Microsoft SharePoint Server远程代码执行漏洞（CNVD-2021-41120、CNVD-2021-41118）、Microsoft SharePoint Server信息泄露漏洞（CNVD-2021-41121）等。




		其他编号	CVE-2020-17125、CVE-2020-17123 CVE-2020-17129、CVE-2020-17128 CVE-2020-17127、CVE-2020-17065 CVE-2020-17066、CVE-2021-31966 CVE-2021-31963、CVE-2021-31965




		发布时间	2021/06/04
		影响产品	Microsoft Excel 2010 Microsoft Excel 2013 Microsoft Excel 2016 Microsoft Office Web Apps 2013 Microsoft Office 2019 for Mac Microsoft Office Online Server Microsoft Office 2019 Microsoft Office 2010 Microsoft Office 2016 Microsoft 365 Apps for Enterprise Microsoft SharePoint Enterprise Server Microsoft SharePoint Foundation Microsoft SharePoint Server
6	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2021-41059、CNVD-2021-41067 CNVD-2021-41066、CNVD-2021-41065 CNVD-2021-41071、CNVD-2021-41070 CNVD-2021-41069、CNVD-2021-41068 CNVD-2021-41072、CNVD-2021-45942	本月，Adobe多款产品存在安全漏洞。攻击者可利用漏洞植入自定义二进制文件，并使用系统权限执行，执行任意代码等。本月漏洞包括：Adobe Photoshop缓冲区溢出漏洞（CNVD-2021-41059）、Adobe After Effects堆缓冲区溢出漏洞（CNVD-2021-41067、CNVD-2021-41066、CNVD-2021-41069、CNVD-2021-41068）、Adobe After Effects栈缓冲区溢出漏洞、Adobe After Effects缓冲区溢出漏洞（CNVD-2021-41071、CNVD-2021-41070、CNVD-2021-41072）、Adobe After Effects不受控制搜索路径元素漏洞等。




		其他编号	CVE-2021-28582、CVE-2021-28608 CVE-2021-28610、CVE-2021-28606 CVE-2021-28605、CVE-2021-28607 CVE-2021-28603、CVE-2021-28604 CVE-2021-28602、CVE-2021-28570




		发布时间	2021/06/11
		影响产品	Adobe Photoshop 2020 Adobe Photoshop 2021 Adobe After Effects
7	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-41168、CNVD-2021-41171 CNVD-2021-41170、CNVD-2021-41169 CNVD-2021-41174、CNVD-2021-41173 CNVD-2021-41172、CNVD-2021-41177 CNVD-2021-41176、CNVD-2021-41175	本月，Cisco多款产品存在安全漏洞。攻击者可利用漏洞以root用户身份在底层操作系统上执行任意代码，或导致设备重新加载等。本月漏洞包括：Cisco RV110W/RV130/RV130W/RV215W远程命令执行和拒绝服务漏洞（CNVD-2021-41168、CNVD-2021-41171、CNVD-2021-41170、CNVD-2021-41169、CNVD-2021-41174、CNVD-2021-41173、CNVD-2021-41172、CNVD-2021-41177、CNVD-2021-41176、CNVD-2021-41175）等。




		其他编号	CVE-2021-1360、CVE-2021-1216 CVE-2021-1217、CVE-2021-1307 CVE-2021-1213、CVE-2021-1214 CVE-2021-1215、CVE-2021-1210 CVE-2021-1211、CVE-2021-1212




		发布时间	2021/06/13
		影响产品	Cisco RV110W Cisco RV130W Cisco RV215W Cisco RV130
8	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-43383、CNVD-2021-43382 CNVD-2021-43381、CNVD-2021-43396 CNVD-2021-43395、CNVD-2021-43394 CNVD-2021-43399、CNVD-2021-43398 CNVD-2021-43397、CNVD-2021-43400	本月，Google多款产品存在安全漏洞。攻击者可利用漏洞导致本地权限提升。本月漏洞包括：Google Android权限提升漏洞（CNVD-2021-43383、CNVD-2021-43382、CNVD-2021-43381、CNVD-2021-43396、CNVD-2021-43395、CNVD-2021-43394、CNVD-2021-43399、CNVD-2021-43398、CNVD-2021-43397、CNVD-2021-43400）等。




		其他编号	CVE-2021-0491、CVE-2021-0490 CVE-2021-0489、CVE-2021-0494 CVE-2021-0493、CVE-2021-0492 CVE-2021-0497、CVE-2021-0496 CVE-2021-0495、CVE-2021-0498




		发布时间	2021/06/19
		影响产品	Google Android

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月应用程序占比例较大。与前12个月相比，本月应用程序、操作系统、WEB应用、网络设备（交换机、路由器等网络端设备）、安全产品、智能设备（物联网终端设备）的数量处于高位，数据库漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	YMBCMS 9.2存在SQL注入漏洞（CNVD-2021-36240）	CNVD-2021-36240	2021/6/15
2	梦想CMS存在多个漏洞	CNVD-2021-36246	2021/6/15
3	北京安天网络安全技术有限公司追影威胁分析系统存在逻辑缺陷问漏洞	CNVD-2021-35785	2021/6/21
4	作业帮APP存在逻辑缺陷漏洞	CNVD-2021-40179	2021/6/5
5	SeaweedFS Filer存在未授权访问漏洞	CNVD-2021-35847	2021/6/13

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是YMBCMS 9.2存在SQL注入漏洞（CNVD-2021-36240），其访问量达到123次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞2418个，与前12个月平均收录数量1859个相比，处于高位；本月高危漏洞748个，与前12个月高危漏洞平均收录数量569个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月3日发布的安全漏洞数量最多，高达247个，主要是因为收录了CourseSEL、IBM Jazz Foundation等多款产品存在的多个漏洞。

2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中，哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、恒安嘉新（北京）科技股份公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多。广州易东信息安全技术有限公司、南京众智维信息科技有限公司、北京信联科汇科技有限公司、河南灵创电子科技有限公司、北京山石网科信息技术有限公司、新疆海狼科技有限公司、河南信安世纪科技有限公司、中国电信股份有限公司网络安全产品运营中心、北京天地和兴科技有限公司、江西省掌控者信息安全技术有限公司、山东云天安全技术有限公司、武汉明嘉信信息安全检测评估有限公司、杭州木链物联网科技有限公司、北京安帝科技有限公司、贵州多彩宝互联网服务有限公司、北京华云安信息技术有限公司、湖北珞格科技发展有限公司、长春嘉诚信息技术股份有限公司、山东泽鹿安全技术有限公司、重庆贝特计算机系统工程有限公司、北京禹宏信安科技有限公司、安徽长泰信息安全服务有限公司、重庆都会信息科技有限公司、杭州天谷信息科技有限公司、星云博创科技有限公司、北京蓝森科技有限公司、浙江御安信息技术有限公司、北方实验室（沈阳）股份有限公司、北京墨云科技有限公司、百度在线网络技术有限公司、北京圣博润高新技术股份有限公司、北京远禾科技有限公司、广州安亿信软件科技有限公司、南京树安信息技术有限公司、浙江大学控制科学与工程学院、山东新潮信息技术有限公司、北京机沃科技有限公司、江苏晟晖信息科技有限公司、联想集团、广州百蕴启辰科技有限公司、平安银河实验室、上海市信息安全测评认证中心、深圳市魔方安全科技有限公司、郑州赛欧思科技有限公司、任子行网络技术股份有限公司、北京顶象技术有限公司、北京君云天下科技有限公司、博智安全科技股份有限公司、日照天錾网络科技有限公司、武汉绿色网络信息服务有限责任公司、亚信科技（成都）有限公司、中移（杭州）信息技术有限公司、河北千诚电子科技有限公司、北京时代新威信息技术有限公司、北京云科安信科技有限公司（Seraph安全实验室）、广州铂豪万钧电子科技有限公司、广州万蓝宝田科技发展有限公司、海南神州希望网路有限公司、江苏智慧安全可信技术研究院、三门峡崤云安全服务有限公司、山东云天安全大数据技术有限公司、上海上讯信息技术股份有限公司、小安（北京）科技有限公司、中国工商银行及其他个人白帽子向CNVD提交了14824个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的8103条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
斗象科技（漏洞盒子）	3979	3979
上海交大	2249	2249
奇安信网神（补天平台）	1875	1875
哈尔滨安天科技集团股份有限公司	1070	0
北京天融信网络安全技术有限公司	661	12
北京神州绿盟科技有限公司	626	33
恒安嘉新（北京）科技股份公司	528	0
深信服科技股份有限公司	497	9
华为技术有限公司	449	0
北京数字观星科技有限公司	440	0
北京启明星辰信息安全技术有限公司	374	40
新华三技术有限公司	316	0
阿里云计算有限公司	313	0
天津市国瑞数码安全系统股份有限公司	259	0
卫士通信息产业股份有限公司	127	0
远江盛邦（北京）网络安全科技股份有限公司	108	108
北京奇虎科技有限公司	38	38
北京知道创宇信息技术股份有限公司	18	0
西安四叶草信息技术有限公司	16	16
内蒙古奥创科技有限公司	14	14
北京长亭科技有限公司	7	7
北京安信天行科技有限公司	3	3
杭州安恒信息技术股份有限公司	1	1
广州易东信息安全技术有限公司	1510	1510
南京众智维信息科技有限公司	438	438
北京信联科汇科技有限公司	293	293
河南灵创电子科技有限公司	245	245
北京山石网科信息技术有限公司	217	217
河南信安世纪科技有限公司	132	132
新疆海狼科技有限公司	130	130
中国电信股份有限公司网络安全产品运营中心	75	1
北京天地和兴科技有限公司	73	73
江西省掌控者信息安全技术有限公司	60	60
山东云天安全技术有限公司	55	55
杭州迪普科技股份有限公司	40	0
武汉明嘉信信息安全检测评估有限公司	39	39
杭州木链物联网科技有限公司	38	38
北京安帝科技有限公司	35	35
贵州多彩宝互联网服务有限公司	32	32
湖北珞格科技发展有限公司	30	30
长春嘉诚信息技术股份有限公司	30	30
北京华云安信息技术有限公司	29	29
山东泽鹿安全技术有限公司	27	27
重庆贝特计算机系统工程有限公司	24	24
北京禹宏信安科技有限公司	20	20
安徽长泰信息安全服务有限公司	18	18
重庆都会信息科技有限公司	17	17
杭州天谷信息科技有限公司	14	14
星云博创科技有限公司	11	11
北京蓝森科技有限公司	10	10
浙江御安信息技术有限公司	10	10
北方实验室（沈阳）股份有限公司	9	9
西门子（中国）有限公司	9	0
北京墨云科技有限公司	8	8
百度在线网络技术有限公司	8	8
北京远禾科技有限公司	6	6
广州安亿信软件科技有限公司	6	6
南京树安信息技术有限公司	6	6
浙江大学控制科学与工程学院	6	6
山东新潮信息技术有限公司	5	5
北京机沃科技有限公司	4	4
江苏晟晖信息科技有限公司	4	4
联想集团	3	3
广州百蕴启辰科技有限公司	3	3
上海市信息安全测评认证中心	3	3
深圳市魔方安全科技有限公司	3	3
郑州赛欧思科技有限公司	3	3
平安银河实验室	2	2
任子行网络技术股份有限公司	2	2
北京顶象技术有限公司	2	2
北京君云天下科技有限公司	2	2
博智安全科技股份有限公司	2	2
日照天錾网络科技有限公司	2	2
武汉绿色网络信息服务有限责任公司	2	2
亚信科技（成都）有限公司	2	2
中移（杭州）信息技术有限公司	2	2
北京圣博润高新技术股份有限公司	1	1
河北千诚电子科技有限公司	1	1
北京时代新威信息技术有限公司	1	1
北京云科安信科技有限公司（Seraph安全实验室）	1	1
广州铂豪万钧电子科技有限公司	1	1
广州万蓝宝田科技发展有限公司	1	1
海南神州希望网路有限公司	1	1
江苏智慧安全可信技术研究院	1	1
三门峡崤云安全服务有限公司	1	1
山东云天安全大数据技术有限公司	1	1
上海上讯信息技术股份有限公司	1	1
小安（北京）科技有限公司	1	1
中国工商银行	1	1
CNCERT宁夏分中心	51	51
CNCERT山西分中心	15	15
CNCERT吉林分中心	13	13
CNCERT河北分中心	7	7
CNCERT天津分中心	7	7
CNCERT西藏分中心	6	6
CNCERT辽宁分中心	5	5
CNCERT青海分中心	4	4
CNCERT广西分中心	4	4
CNCERT上海分中心	3	3
CNCERT贵州分中心	2	2
CNCERT海南分中心	2	2
CNCERT内蒙古分中心	2	2
CNCERT甘肃分中心	1	1
个人	2672	2672
合计	2418（去重）	14824

表3 单位和个人上报漏洞统计