漏洞信息月度通报2021年第7期-内蒙古电子信息学院信息中心

网络信息安全

漏洞信息月度通报2021年第7期

时间： 2021-07-03 00:00 点击：

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞2514个，其中高危漏洞617个，中危漏洞1631个，低危漏洞266个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有2066个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-47390、CNVD-2021-48426 CNVD-2021-48427、CNVD-2021-48888 CNVD-2021-48893、CNVD-2021-48891 CNVD-2021-48896、CNVD-2021-48898 CNVD-2021-51483、CNVD-2021-51485	本月，Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限，执行任意代码等。本月漏洞包括：Microsoft Azure和Microsoft Azure Stack输入验证错误漏洞、Microsoft Windows Print Spooler代码执行漏洞、Microsoft Windows Print Spooler权限提升漏洞、Microsoft SharePoint远程代码执行漏洞（CNVD-2021-48888、CNVD-2021-48893、CNVD-2021-48891、CNVD-2021-48896、CNVD-2021-48898）、Microsoft Exchange Server远程代码执行漏洞（CNVD-2021-51483、CNVD-2021-51485）等。




		其他编号	CVE-2021-21505、CVE-2021-34527 CVE-2021-1675、CVE-2021-28474 CVE-2021-24066、CVE-2021-27076 CVE-2021-24072、CVE-2021-1707 CVE-2021-31206、CVE-2021-34473




		发布时间	2021/07/09
		影响产品	Microsoft Azure Microsoft Azure Stack Microsoft Windows 7 Microsoft Windows Server 2012 Microsoft Windows 8.1 Microsoft Windows RT 8.1 Microsoft Windows 10 Microsoft Windows Server 2016 Microsoft Windows Server 2008 R2 for x64-based Systems Service Pack 1 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2019 Microsoft Windows Server 2008 Microsoft Windows Server Microsoft Corporation Windows Microsoft SharePoint Enterprise Server Microsoft SharePoint Foundation Microsoft SharePoint Server Microsoft Business Productivity Servers 2010 Microsoft Exchange Server 2019 Microsoft Exchange Server 2016 Microsoft Exchange Server 2013







2	SAP多款产品存在安全漏洞	CNVD编号	CNVD-2021-47704、CNVD-2021-47703 CNVD-2021-47708、CNVD-2021-47707 CNVD-2021-47706、CNVD-2021-47705 CNVD-2021-47712、CNVD-2021-47711 CNVD-2021-47710、CNVD-2021-47709	本月，SAP多款产品存在安全漏洞。攻击者可利用漏洞提交特殊的请求，绕过安全限制，未授权访问，导致系统崩溃等。本月漏洞包括：SAP NetWeaver AS ABAP and ABAP Platform身份验证错误漏洞、SAP NetWeaver AS for JAVA存在代码问题漏洞、SAP NetWeaver AS for ABAP跨站脚本漏洞、SAP NetWeaver AS ABAP and ABAP Platform授权问题漏洞、SAP NetWeaver AS ABAP命令注入漏洞、SAP NetWeaver AS for ABAP内存破坏漏洞（CNVD-2021-47708、CNVD-2021-47710、CNVD-2021-47707、CNVD-2021-47706、CNVD-2021-47709）等。




		其他编号	CVE-2021-27610、CVE-2021-27635 CVE-2021-27632、CVE-2021-27631 CVE-2021-27630、CVE-2021-21490 CVE-2021-21473、CVE-2021-33663 CVE-2021-27606、CVE-2021-27629




		发布时间	2021/07/06
		影响产品	SAP NetWeaver AS ABAP and ABAP Platform SAP NetWeaver AS for Java SAP NetWeaver AS for ABAP（RFC Gateway） SAP NetWeaver AS for ABAP（Web Survey） SAP NetWeaver AS ABAP















3	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-49054、CNVD-2021-49060 CNVD-2021-49084、CNVD-2021-49083 CNVD-2021-49085、CNVD-2021-50178 CNVD-2021-51478、CNVD-2021-51793 CNVD-2021-55188、CNVD-2021-55192	本月，IBM多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息，执行任意命令，导致服务器崩溃等。本月漏洞包括：IBM Guardium Data Encryption信息泄漏漏洞（CNVD-2021-49054、CNVD-2021-50178）、IBM Security Identity Manager Adapters信息泄露漏洞（CNVD-2021-49060）、IBM Security Identity Manager Adapters堆缓冲区溢出漏洞（CNVD-2021-49084、CNVD-2021-49085）、IBM Security Identity Manager Adapters堆栈缓冲区溢出漏洞、IBM Security Access Manager命令注入漏洞、IBM Security Access Manager信息泄露漏洞（CNVD-2021-51793）、IBM i2 Analyze信息泄露漏洞、IBM i2 iBase代码执行漏洞等。




		其他编号	CVE-2021-20416、CVE-2021-20574 CVE-2021-20573、CVE-2021-20572 CVE-2021-20494、CVE-2021-20414 CVE-2021-20533、CVE-2021-20439 CVE-2021-29784、CVE-2020-4623




		发布时间	2021/07/10
		影响产品	IBM Guardium Data Encryption IBM Security Identity Manager Adapters IBM Security Verify Access Docker IBM ISAM IBM i2 Analyze IBM i2 iBase







4	WordPress多款产品存在安全漏洞	CNVD编号	CNVD-2021-49076、CNVD-2021-49075 CNVD-2021-49074、CNVD-2021-49077 CNVD-2021-50115、CNVD-2021-50144 CNVD-2021-50143、CNVD-2021-52421 CNVD-2021-52424、CNVD-2021-52423	本月，WordPress多款产品存在安全漏洞。攻击者可利用该漏洞引诱用户点击执行客户端代码窃取用户Cookie凭据，获得管理员权限，导致CSV注入问题等。本月漏洞包括：WordPress WP Foodbakery Plugin跨站脚本漏洞、WordPress Easy Cookies Policy Plugin跨站脚本漏洞（CNVD-2021-49075）、WordPress跨站脚本漏洞（CNVD-2021-49074）、WordPress WP Pro Real Estate 7 Plugin跨站脚本漏洞、WordPress PickPlugins Product Slider for WooCommerce跨站脚本漏洞、WordPress BuddyPress权限提升漏洞、WordPress访问控制错误漏洞（CNVD-2021-50143）、WordPress插件代码注入漏洞（CNVD-2021-52421、CNVD-2021-52424、CNVD-2021-52423）等。




		其他编号	CVE-2021-24389、CVE-2021-24405 CVE-2021-24407、CVE-2021-24387 CVE-2021-24300、CVE-2021-21389 CVE-2021-24215、CVE-2021-24441 CVE-2021-24442、CVE-2021-24454




		发布时间	2021/07/10
		影响产品	WordPress WP Foodbakery Plugin WordPress Easy Cookies Policy Plugin WordPress Jannah WordPress WP Pro Real Estate 7 Plugin WordPress PickPlugins Product Slider for WooCommerce WordPress BuddyPress WordPress Controlled Admin Access WordPress Sign-up Sheets WordPress WpDevArt Wordpress Polls Plugin WordPress YOP Poll
5	Mozilla多款产品存在安全漏洞	CNVD编号	CNVD-2021-49138、CNVD-2021-54004 CNVD-2021-54003、CNVD-2021-54699 CNVD-2021-54700、CNVD-2021-54704 CNVD-2021-54703、CNVD-2021-54702 CNVD-2021-54706、CNVD-2021-54710	本月，Mozilla多款产品存在安全漏洞。攻击者可利用漏洞越界读取，获取敏感信息，执行任意代码。导致拒绝服务等。本月漏洞包括：多款Mozilla产品资源管理错误漏洞（CNVD-2021-49138）、Mozilla Firefox信息泄露漏洞（CNVD-2021-54004）、Mozilla Firefox密码泄露漏洞、Mozilla Firefox缓冲区溢出漏洞（CNVD-2021-54699、CNVD-2021-54700、CNVD-2021-54702）、Mozilla Firefox资源管理错误漏洞（CNVD-2021-54704）、Mozilla Firefox数据伪造问题漏洞（CNVD-2021-54703）、Mozilla Firefox权限许可和访问控制问题漏洞（CNVD-2021-54706）、Mozilla Firefox WebGL释放后重用漏洞等。




		其他编号	CVE-2021-23995、CVE-2020-15666 CVE-2020-26965、CVE-2021-29966 CVE-2021-29967、CVE-2021-29962 CVE-2021-29963、CVE-2021-29964 CVE-2021-29959、CVE-2020-26972




		发布时间	2021/07/26
		影响产品	Mozilla Firefox ESR mozilla Thunderbird Mozilla Firefox Mozilla Firefox for Android
6	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2021-49195、CNVD-2021-49199 CNVD-2021-49198、CNVD-2021-49197 CNVD-2021-49196、CNVD-2021-54342 CNVD-2021-54341、CNVD-2021-54340 CNVD-2021-54339、CNVD-2021-54343	本月，Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括：Adobe Illustrator 2021路径遍历漏洞、Adobe Illustrator 2021越界写入漏洞、Adobe Illustrator 2021内存破坏漏洞（CNVD-2021-49197、CNVD-2021-49198、CNVD-2021-49196）、Adobe After Effects越界写入漏洞（CNVD-2021-54342、CNVD-2021-54341）、Adobe After Effects不正确输入验证漏洞、Adobe After Effects内存越界访问漏洞（CNVD-2021-54339、CNVD-2021-54343）等。




		其他编号	CVE-2021-21102、CVE-2021-21101 CVE-2021-21103、CVE-2021-21104 CVE-2021-21105、CVE-2021-35993 CVE-2021-35994、CVE-2021-35995 CVE-2021-35996、CVE-2021-36017




		发布时间	2021/07/11
		影响产品	Adobe Illustrator 2021 Adobe After Effects
7	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-50580、CNVD-2021-50579 CNVD-2021-50578、CNVD-2021-50584 CNVD-2021-50583、CNVD-2021-50582 CNVD-2021-50581、CNVD-2021-50587 CNVD-2021-50586、CNVD-2021-50585	本月，Cisco多款产品存在安全漏洞。攻击者可利用漏洞提升权限，以root权限在底层操作系统上执行命令，导致设备重新加载等。本月漏洞包括：Cisco Firepower Threat Defense命令注入漏洞、Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2021-50578）、Cisco IOS XE快速重载漏洞（CNVD-2021-50584、CNVD-2021-50585）、Cisco Adaptive Security Appliance和Firepower Threat Defense命令注入漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞（CNVD-2021-50581、CNVD-2021-50582、CNVD-2021-50580）、Cisco IOS和IOS XE权限提升漏洞、Cisco IOS和IOS XE拒绝服务漏洞（CNVD-2021-50586）等。




		其他编号	CVE-2021-1504、CVE-2021-1448 CVE-2021-1402、CVE-2021-1376 CVE-2021-1476、CVE-2021-1501 CVE-2021-1445、CVE-2021-1391 CVE-2021-1377、CVE-2021-1375




		发布时间	2021/07/14
		影响产品	Cisco Adaptive Security Appliances Cisco Firepower Threat Defense Cisco IOS XE Cisco Catalyst IE3300 Rugged Series Switches Cisco Catalyst IE3400 Rugged Series Switches Cisco Catalyst IE3400 Heavy Duty Series Switches Cisco Embedded Services 3300 Series Switches Cisco Catalyst IE3200 Rugged Series Switches Cisco IOS
8	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-52330、CNVD-2021-52331 CNVD-2021-52335、CNVD-2021-52340 CNVD-2021-52338、CNVD-2021-52343 CNVD-2021-52341、CNVD-2021-52346 CNVD-2021-52344、CNVD-2021-55918	本月，Google多款产品存在安全漏洞。攻击者可利用漏洞绕过安全限制，权限提升，远程代码执行等。本月漏洞包括：Google Android System远程代码执行漏洞（CNVD-2021-52330、CNVD-2021-52331）、Google Android System信息泄露漏洞（CNVD-2021-52335）、Google Android System权限提升漏洞（CNVD-2021-52340、CNVD-2021-52338、CNVD-2021-52343、CNVD-2021-52341、CNVD-2021-52344）、Google Android Media Framework权限提升漏洞（CNVD-2021-52346）、Google Chrome Sharing安全绕过漏洞等。




		其他编号	CVE-2021-0515、CVE-2021-0514 CVE-2021-0596、CVE-2021-0594 CVE-2021-0602、CVE-2021-0585 CVE-2021-0589、CVE-2021-0587 CVE-2020-0417、CVE-2021-30589




		发布时间	2021/07/20
		影响产品	Google Android Google Chrome

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月WEB应用占比例较大。与前12个月相比，本月WEB应用、数据库、网络设备（交换机、路由器等网络端设备）、安全产品、智能设备（物联网终端设备）漏洞的数量处于高位，操作系统、应用程序漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	阿里智能APP存在Janus漏洞	CNVD-2021-41016	2021/7/16
2	鹏为软件股份有限公司CRM E4/标准版存在SQL注入漏洞（CNVD-2021-42784）	CNVD-2021-42784	2021/7/16
3	CSZ CMS跨站脚本漏洞（CNVD-2021-50172）	CNVD-2021-50172	2021/7/13
4	百卓网络Smart多业务安全网关智能管理平台存在逻辑缺陷漏洞	CNVD-2021-45360	2021/7/30
5	CSZ CMS跨站脚本漏洞（CNVD-2021-50173）	CNVD-2021-50173	2021/7/13

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是阿里智能APP存在Janus漏洞，其访问量达到138次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞2514个，与前12个月平均收录数量1896个相比，处于高位；本月高危漏洞617个，与前12个月高危漏洞平均收录数量578个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月16日发布的安全漏洞数量最多，高达226个，主要是因为收录了Siemens、爱青檬CMS等多款产品存在的多个漏洞。

2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中，其中，北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京数字观星科技有限公司、华为技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、北京信联科汇科技有限公司、联想集团、北京山石网科信息技术有限公司、杭州木链物联网科技有限公司、山东新潮信息技术有限公司、南京众智维信息科技有限公司、江西省掌控者信息安全技术有限公司、杭州海康威视数字技术股份有限公司、河南灵创电子科技有限公司、安徽长泰信息安全服务有限公司、山东泽鹿安全技术有限公司、北京华云安信息技术有限公司、河南信安世纪科技有限公司、上海纽盾科技股份有限公司、北京天地和兴科技有限公司、杭州迪普科技股份有限公司、北京安帝科技有限公司、武汉明嘉信信息安全检测评估有限公司、广东蓝爵网络安全技术股份有限公司、重庆都会信息科技有限公司、长春嘉诚信息技术股份有限公司、重庆贝特计算机系统工程有限公司、北京远禾科技有限公司、京东云安全、南京树安信息技术有限公司、河南东方云盾信息技术有限公司、贵州多彩宝互联网服务有限公司、四川哨兵信息科技有限公司、星云博创科技有限公司、北方实验室（沈阳）股份有限公司、北京顶象技术有限公司、北京云科安信科技有限公司（Seraph安全实验室）、上海市信息安全测评认证中心、广州易东信息安全技术有限公司、北京网御星云信息技术有限公司、浙江御安信息技术有限公司、北京升鑫网络科技有限公司、杰润鸿远（北京）科技有限公司、亚信科技（成都）有限公司、广州安亿信软件科技有限公司、江苏保旺达软件技术有限公司、北京机沃科技有限公司、杭州天谷信息科技有限公司、浙江菜鸟供应链管理有限公司、浙江大学控制科学与工程学院、广州掌动智能科技有限公司、海南神州希望网路有限公司、深圳市魔方安全科技有限公司、泰山信息科技有限公司、武汉绿色网络信息服务有限责任公司、浙江国利网安科技有限公司、中油国际管道公司、北京君云天下科技有限公司、北京科技大学、北京墨云科技有限公司、广州百蕴启辰科技有限公司、江苏省信息安全测评中心、江西古礼月信息技术有限公司、清远职业技术学院、山东道普测评技术有限公司、上海嘉韦思信息技术有限公司、四川赛虎科技有限公司、中安网盾（广州）信息科技有限公司、中国工程物理研究院计算机应用研究所、中国工商银行、中移（杭州）信息技术有限公司及其他个人白帽子向CNVD提交了19185个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的9262条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
斗象科技（漏洞盒子）	4107	4107
上海交大	2656	2656
奇安信网神（补天平台）	2499	2499
北京天融信网络安全技术有限公司	2073	59
北京神州绿盟科技有限公司	1258	39
哈尔滨安天科技集团股份有限公司	1108	0
北京数字观星科技有限公司	779	0
华为技术有限公司	630	0
北京华顺信安科技有限公司	568	1
新华三技术有限公司	560	0
恒安嘉新（北京）科技股份公司	541	0
北京启明星辰信息安全技术有限公司	235	58
国瑞数码零点实验室	233	0
深信服科技股份有限公司	164	2
远江盛邦（北京）网络安全科技股份有限公司	158	158
北京奇虎科技有限公司	70	25
西门子（中国）有限公司	66	0
北京安信天行科技有限公司	56	56
卫士通信息产业股份有限公司	50	9
北京知道创宇信息技术股份有限公司	27	14
南京联成科技发展股份有限公司	23	23
浙江大华技术股份有限公司	19	19
西安四叶草信息技术有限公司	16	16
北京长亭科技有限公司	7	7
中国电信集团系统集成有限责任公司	4	4
南京铱迅信息技术股份有限公司	3	3
内蒙古奥创科技有限公司	2	2
北京信息安全测评中心	2	2
山东云天安全技术有限公司	1768	1768
北京信联科汇科技有限公司	1007	1007
联想集团	978	1
北京山石网科信息技术有限公司	732	732
杭州木链物联网科技有限公司	331	331
山东新潮信息技术有限公司	262	262
南京众智维信息科技有限公司	161	161
江西省掌控者信息安全技术有限公司	159	159
杭州海康威视数字技术股份有限公司	147	147
河南灵创电子科技有限公司	143	143
安徽长泰信息安全服务有限公司	140	140
山东泽鹿安全技术有限公司	135	135
北京华云安信息技术有限公司	114	114
河南信安世纪科技有限公司	108	108
上海纽盾科技股份有限公司	92	92
中国电信股份有限公司网络安全产品运营中心	80	0
北京天地和兴科技有限公司	73	73
杭州迪普科技股份有限公司	60	4
北京安帝科技有限公司	54	54
武汉明嘉信信息安全检测评估有限公司	54	54
广东蓝爵网络安全技术股份有限公司	49	49
重庆都会信息科技有限公司	46	46
长春嘉诚信息技术股份有限公司	35	35
重庆贝特计算机系统工程有限公司	26	26
北京远禾科技有限公司	18	18
京东云安全	18	18
南京树安信息技术有限公司	16	16
河南东方云盾信息技术有限公司	12	12
贵州多彩宝互联网服务有限公司	11	11
四川哨兵信息科技有限公司	11	11
星云博创科技有限公司	11	11
北方实验室（沈阳）股份有限公司	9	9
北京顶象技术有限公司	8	8
北京云科安信科技有限公司（Seraph安全实验室）	8	8
上海市信息安全测评认证中心	8	8
广州易东信息安全技术有限公司	7	7
北京网御星云信息技术有限公司	6	6
浙江御安信息技术有限公司	6	6
北京升鑫网络科技有限公司	5	5
杰润鸿远（北京）科技有限公司	5	5
亚信科技（成都）有限公司	5	5
广州安亿信软件科技有限公司	4	4
江苏保旺达软件技术有限公司	4	4
北京机沃科技有限公司	3	3
杭州天谷信息科技有限公司	3	3
浙江菜鸟供应链管理有限公司	3	3
浙江大学控制科学与工程学院	3	3
广州掌动智能科技有限公司	2	2
海南神州希望网路有限公司	2	2
深圳市魔方安全科技有限公司	2	2
泰山信息科技有限公司	2	2
武汉绿色网络信息服务有限责任公司	2	2
浙江国利网安科技有限公司	2	2
中油国际管道公司	2	2
北京君云天下科技有限公司	1	1
北京科技大学	1	1
北京墨云科技有限公司	1	1
广州百蕴启辰科技有限公司	1	1
江苏省信息安全测评中心	1	1
江西古礼月信息技术有限公司	1	1
清远职业技术学院	1	1
山东道普测评技术有限公司	1	1
上海嘉韦思信息技术有限公司	1	1
四川赛虎科技有限公司	1	1
中安网盾（广州）信息科技有限公司	1	1
中国工程物理研究院计算机应用研究所	1	1
中国工商银行	1	1
中移（杭州）信息技术有限公司	1	1
CNCERT青海分中心	15	15
CNCERT山东分中心	8	8
CNCERT宁夏分中心	8	8
CNCERT浙江分中心	7	7
CNCERT贵州分中心	5	5
CNCERT四川分中心	5	5
CNCERT西藏分中心	4	4
CNCERT内蒙古分中心	1	1
个人	3520	3520
合计	2514（去重）	19185

表3 单位和个人上报漏洞统计