情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞2216个,其中高危漏洞551个,中危漏洞1424个,低危漏洞241个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1648个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
| 序号 |
漏洞名称 |
编号及影响产品信息 |
影响描述 |
| 1 |
Microsoft多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-61415、CNVD-2021-61773 CNVD-2021-62490、CNVD-2021-62489 CNVD-2021-62488、CNVD-2021-65596 CNVD-2021-65602、CNVD-2021-65601 CNVD-2021-65600、CNVD-2021-65605 |
本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞提升权限,执行任意代码。本月漏洞包括:Microsoft Visual Studio Code命令注入漏洞(CNVD-2021-61415)、Microsoft Windows和Windows Server权限提升漏洞(CNVD-2021-61773)、Microsoft Windows/Windows Server远程代码执行漏洞(CNVD-2021-62490、CNVD-2021-62489、CNVD-2021-62488、CNVD-2021-65596、CNVD-2021-65602、CNVD-2021-65601、CNVD-2021-65600、CNVD-2021-65605)等。 |
| 其他编号 |
CVE-2021-30124、CVE-2020-1080 CVE-2020-1039、CVE-2020-1074 CVE-2020-17068、CVE-2020-0908 CVE-2020-1562、CVE-2020-1561 CVE-2020-0997、CVE-2020-1400 |
| 发布时间 |
2021/08/17 |
| 影响产品 |
Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server 2008 Microsoft Windows Server 2012 Microsoft Visual Studio Code Microsoft Windows RT 8.1 Microsoft Windows Server Microsoft Windows 8.1 Microsoft Windows 10 Microsoft Windows 7 |
| 2 |
Adobe多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-63256、CNVD-2021-63260 CNVD-2021-63259、CNVD-2021-63265 CNVD-2021-63268、CNVD-2021-63267 CNVD-2021-63266、CNVD-2021-63269 CNVD-2021-63270、CNVD-2021-63275 |
| 其他编号 |
CVE-2021-36054、CVE-2021-36050 CVE-2021-36051、CVE-2021-36059 CVE-2021-36069、CVE-2021-36049 CVE-2021-36076、CVE-2021-36068 CVE-2021-36067、CVE-2021-36078 |
| 发布时间 |
2021/08/19 |
| 影响产品 |
Adobe XMP Toolkit SDK Adobe Bridge |
| 3 |
Huawei多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-60507、CNVD-2021-60510 CNVD-2021-63801、CNVD-2021-64497 CNVD-2021-64496、CNVD-2021-64499 CNVD-2021-64498、CNVD-2021-64510 CNVD-2021-64509、CNVD-2021-64524 |
| 其他编号 |
CVE-2021-22423、CVE-2021-22425 CVE-2021-22422、CVE-2021-22444 CVE-2021-22438、CVE-2021-22446 CVE-2021-22445、CVE-2021-22388 CVE-2021-22387、CVE-2021-22333 |
| 发布时间 |
2021/08/24 |
| 影响产品 |
Huawei HarmonyOS Huawei Magic UI Huawei EMUI |
| 4 |
Google多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-62169、CNVD-2021-62168 CNVD-2021-62167、CNVD-2021-62173 CNVD-2021-62172、CNVD-2021-62171 CNVD-2021-62187、CNVD-2021-63084 CNVD-2021-63788、CNVD-2021-63794 |
| 其他编号 |
CVE-2021-30565、CVE-2021-30566 CVE-2021-30567、CVE-2021-30559 CVE-2021-30541、CVE-2021-30563 CVE-2021-30592、CVE-2021-37678 CVE-2021-0573、CVE-2021-0580 |
| 发布时间 |
2021/08/16 |
| 影响产品 |
Google TensorFlow Google Android Google Chrome |
| 5 |
Foxit多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-59167、CNVD-2021-59171 CNVD-2021-59170、CNVD-2021-59175 CNVD-2021-59174、CNVD-2021-59173 CNVD-2021-66409、CNVD-2021-66408 CNVD-2021-66414、CNVD-2021-66412 |
| 其他编号 |
CVE-2021-34848、CVE-2021-34843 CVE-2021-34831、CVE-2021-34844 CVE-2021-34850、CVE-2021-34845 CVE-2021-38565、CVE-2021-38564 CVE-2021-38570、CVE-2021-38568 |
| 发布时间 |
2021/08/08 |
| 影响产品 |
Foxit PhantomPDF Foxit PDF Reader Foxit PDF Editor |
| 6 |
IBM多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-57177、CNVD-2021-61435 CNVD-2021-61952、CNVD-2021-64546 CNVD-2021-64545、CNVD-2021-64544 CNVD-2021-64548、CNVD-2021-64547 CNVD-2021-65731、CNVD-2021-65730 |
| 其他编号 |
CVE-2020-5004、CVE-2021-29714 CVE-2021-20420、CVE-2021-20540 CVE-2021-29697、CVE-2021-20539 CVE-2021-20541、CVE-2021-29696 CVE-2021-20427、CVE-2020-4706 |
| 发布时间 |
2021/08/24 |
| 影响产品 |
IBM Cloud Pak for Security IBM Content Navigator IBM Security Guardium IBM Jazz Foundation IBM API Connect |
| 7 |
F5多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-65623、CNVD-2021-65621 CNVD-2021-65624、CNVD-2021-65632 CNVD-2021-65643、CNVD-2021-65645 CNVD-2021-65649、CNVD-2021-65648 CNVD-2021-65647、CNVD-2021-65655 |
| 其他编号 |
CVE-2021-23038、CVE-2021-23029 CVE-2021-23040、CVE-2021-23046 CVE-2021-23042、CVE-2021-23039 CVE-2021-23034、CVE-2021-23035 CVE-2021-23036、CVE-2021-23025 |
| 发布时间 |
2021/08/26 |
| 影响产品 |
F5 BIG-IP (LTM,AAM,Advanced WAF,AFM,Analytics,APM,DDHD,DNS,FPS,GTM,Link Controller,PEM,SSLO) F5 BIG-IP(Advanced WAF,ASM,Datasafe) F5 BIG-IP (Advanced WAF and ASM) F5 BIG-IP (所有模块) F5 BIG-IP AFM F5 BIG-IP APM |
| 8 |
Cybozu多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-59718、CNVD-2021-59721 CNVD-2021-59720、CNVD-2021-59732 CNVD-2021-59731、CNVD-2021-59730 CNVD-2021-59737、CNVD-2021-59736 CNVD-2021-59734、CNVD-2021-59733 |
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月操作系统、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品、智能设备(物联网终端设备)漏洞的数量处于高位,应用程序、数据库漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
| 关注度排名 |
漏洞名称 |
CNVD编号 |
发布时间 |
| 1 |
IBM Content Navigator拒绝服务漏洞 |
CNVD-2021-61435 |
2021/8/12 |
| 2 |
Mozilla Rust拒绝服务漏洞(CNVD-2021-61401) |
CNVD-2021-61401 |
2021/8/12 |
| 3 |
Mozilla Rust跨站脚本漏洞(CNVD-2021-61406) |
CNVD-2021-61406 |
2021/8/12 |
| 4 |
Mozilla Rust拒绝服务漏洞(CNVD-2021-61400) |
CNVD-2021-61400 |
2021/8/12 |
| 5 |
Exiv2无限循环漏洞(CNVD-2021-61796) |
CNVD-2021-61796 |
2021/8/17 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是IBM Content Navigator拒绝服务漏洞,其访问量达到281次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞2216个,与前12个月平均收录数量1983个相比,处于高位;本月高危漏洞551个,与前12个月高危漏洞平均收录数量592个相比,处于低位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月9日发布的安全漏洞数量最多,高达232个,主要是因为收录了Cybozu、WordPress等多款产品存在的多个漏洞。
2. 单位和个人上报漏洞统计
本月报送情况如表3所示。其中,北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、北京数字观星科技有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多。北京山石网科信息技术有限公司、山东云天安全技术有限公司、联想全球安全实验室、北京华云安信息技术有限公司、中国电信股份有限公司网络安全产品运营中心、北京信联科汇科技有限公司、浙江木链物联网科技有限公司、杭州海康威视数字技术股份有限公司、山东新潮信息技术有限公司、南京众智维信息科技有限公司、河南灵创电子科技有限公司 、山东泽鹿安全技术有限公司、广东蓝爵网络安全技术股份有限公司、京东云安全、北京天地和兴科技有限公司、内蒙古云科数据服务股份有限公司、河南信安世纪科技有限公司、北京安帝科技有限公司、上海纽盾科技股份有限公司、内蒙古洞明科技有限公司、安徽长泰信息安全服务有限公司、信联科技(南京)有限公司、重庆都会信息科技有限公司、杭州迪普科技股份有限公司、北京惠而特科技有限公司、亚信科技(成都)有限公司、武汉明嘉信信息安全检测评估有限公司、北京云科安信科技有限公司(Seraph安全实验室)、阿里巴巴网络技术有限公司、泰山信息科技有限公司、江苏快页信息技术有限公司、北京远禾科技有限公司、长春嘉诚信息技术股份有限公司、南京树安信息技术有限公司、重庆贝特计算机系统工程有限公司、星云博创科技有限公司、宁波和利时信息安全研究院、广西等保安全测评有限公司、海南神州希望网路有限公司、北京云弈科技有限公司、中安网盾(广州)信息科技有限公司、河南金盾信安检测评估中心、杭州美创科技有限公司、广州安亿信软件科技有限公司、腾讯安全应急响应中心、河南天祺信息安全技术有限公司、物鼎安全科技(武汉)有限公司、北京边界无限科技有限公司、百度AIoT安全团队、平安银河实验室、四川赛虎科技有限公司(玄蜂安全团队)、上海市信息安全测评认证中心、江苏保旺达软件技术有限公司、福建中信网安信息科技有限公司、浙江大学控制科学与工程学院、浙江国利网安科技有限公司、北京顶象技术有限公司、四川哨兵信息科技有限公司、中通服咨询设计研究院有限公司、浙江乾冠信息安全研究院、山石网科通信技术股份有限公司、浙江御安信息技术有限公司、西藏熙安信息技术有限责任公司、中金金融认证中心有限公司、江苏翔信信息安全技术有限公司、北方实验室(沈阳)股份有限公司、小安(北京)科技有限公司、深圳市魔方安全科技有限公司、广州乐轩玄彩电子科技有限公司、北京君云天下科技有限公司、北京机沃科技有限公司、东方电气集团科学技术研究院有限公司能源装备工控网络安全工程实验室及其他个人白帽子向CNVD提交了40122个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的28784条原创漏洞信息。
| 单位或个人 |
漏洞上报总数 |
原创漏洞数量 |
| 奇安信网神(补天平台) |
23336 |
23336 |
| 斗象科技(漏洞盒子) |
3120 |
3120 |
| 上海交大 |
2328 |
2328 |
| 北京神州绿盟科技有限公司 |
1387 |
31 |
| 哈尔滨安天科技集团股份有限公司 |
1180 |
0 |
| 北京天融信网络安全技术有限公司 |
904 |
94 |
| 北京数字观星科技有限公司 |
787 |
1 |
| 北京启明星辰信息安全技术有限公司 |
604 |
325 |
| 新华三技术有限公司 |
544 |
0 |
| 华为技术有限公司 |
506 |
0 |
| 恒安嘉新(北京)科技股份公司 |
487 |
0 |
| 天津市国瑞数码安全系统股份有限公司(国瑞数码零点实验室) |
318 |
0 |
| 深信服科技股份有限公司 |
308 |
6 |
| 远江盛邦(北京)网络安全科技股份有限公司 |
284 |
284 |
| 北京华顺信安科技有限公司 |
265 |
0 |
| 厦门服云信息科技有限公司 |
253 |
2 |
| 北京奇虎科技有限公司 |
187 |
67 |
| 卫士通信息产业股份有限公司 |
70 |
70 |
| 内蒙古奥创科技有限公司 |
57 |
57 |
| 南京联成科技发展股份有限公司 |
57 |
57 |
| 浙江大华技术股份有限公司 |
32 |
32 |
| 北京安信天行科技有限公司 |
21 |
21 |
| 北京知道创宇信息技术股份有限公司 |
13 |
0 |
| 北京长亭科技有限公司 |
6 |
6 |
| 西安四叶草信息技术有限公司 |
4 |
4 |
| 北京智游网安科技有限公司 |
2 |
2 |
| 深圳市腾讯计算机系统有限公司(玄武实验室) |
2 |
2 |
| 北京山石网科信息技术有限公司 |
1196 |
1196 |
| 山东云天安全技术有限公司 |
965 |
965 |
| 联想全球安全实验室 |
699 |
1 |
| 北京华云安信息技术有限公司 |
632 |
632 |
| 中国电信股份有限公司网络安全产品运营中心 |
582 |
507 |
| 北京信联科汇科技有限公司 |
523 |
523 |
| 浙江木链物联网科技有限公司 |
258 |
258 |
| 杭州海康威视数字技术股份有限公司 |
249 |
249 |
| 山东新潮信息技术有限公司 |
231 |
231 |
| 南京众智维信息科技有限公司 |
175 |
175 |
| 河南灵创电子科技有限公司 |
174 |
174 |
| 山东泽鹿安全技术有限公司 |
137 |
137 |
| 广东蓝爵网络安全技术股份有限公司 |
104 |
104 |
| 京东云安全 |
103 |
103 |
| 北京天地和兴科技有限公司 |
99 |
99 |
| 内蒙古云科数据服务股份有限公司 |
92 |
92 |
| 河南信安世纪科技有限公司 |
92 |
92 |
| 北京安帝科技有限公司 |
88 |
88 |
| 上海纽盾科技股份有限公司 |
78 |
78 |
| 内蒙古洞明科技有限公司 |
68 |
68 |
| 西门子(中国)有限公司 |
64 |
0 |
| 安徽长泰信息安全服务有限公司 |
64 |
64 |
| 信联科技(南京)有限公司 |
53 |
53 |
| 重庆都会信息科技有限公司 |
47 |
47 |
| 杭州迪普科技股份有限公司 |
46 |
3 |
| 北京惠而特科技有限公司 |
45 |
45 |
| 亚信科技(成都)有限公司 |
39 |
4 |
| 武汉明嘉信信息安全检测评估有限公司 |
31 |
31 |
| 北京云科安信科技有限公司(Seraph安全实验室) |
31 |
31 |
| 阿里巴巴网络技术有限公司 |
31 |
31 |
| 泰山信息科技有限公司 |
29 |
29 |
| 江苏快页信息技术有限公司 |
22 |
22 |
| 北京远禾科技有限公司 |
17 |
17 |
| 长春嘉诚信息技术股份有限公司 |
15 |
15 |
| 南京树安信息技术有限公司 |
14 |
14 |
| 重庆贝特计算机系统工程有限公司 |
12 |
12 |
| 星云博创科技有限公司 |
10 |
10 |
| 宁波和利时信息安全研究院 |
9 |
9 |
| 广西等保安全测评有限公司 |
8 |
8 |
| 海南神州希望网路有限公司 |
8 |
8 |
| 北京云弈科技有限公司 |
6 |
6 |
| 中安网盾(广州)信息科技有限公司 |
6 |
6 |
| 河南金盾信安检测评估中心 |
6 |
6 |
| 杭州美创科技有限公司 |
6 |
6 |
| 广州安亿信软件科技有限公司 |
5 |
5 |
| 腾讯安全应急响应中心 |
5 |
5 |
| 河南天祺信息安全技术有限公司 |
5 |
5 |
| 物鼎安全科技(武汉)有限公司 |
4 |
4 |
| 北京边界无限科技有限公司 |
4 |
4 |
| 百度AIoT安全团队 |
4 |
4 |
| 平安银河实验室 |
4 |
4 |
| 四川赛虎科技有限公司(玄蜂安全团队) |
4 |
4 |
| 上海市信息安全测评认证中心 |
3 |
3 |
| 江苏保旺达软件技术有限公司 |
3 |
3 |
| 福建中信网安信息科技有限公司 |
3 |
3 |
| 浙江大学控制科学与工程学院 |
3 |
3 |
| 浙江国利网安科技有限公司 |
3 |
3 |
| 北京顶象技术有限公司 |
3 |
3 |
| 四川哨兵信息科技有限公司 |
3 |
3 |
| 中通服咨询设计研究院有限公司 |
2 |
2 |
| 浙江乾冠信息安全研究院 |
2 |
2 |
| 山石网科通信技术股份有限公司 |
2 |
2 |
| 浙江御安信息技术有限公司 |
1 |
1 |
| 西藏熙安信息技术有限责任公司 |
1 |
1 |
| 中金金融认证中心有限公司 |
1 |
1 |
| 江苏翔信信息安全技术有限公司 |
1 |
1 |
| 北方实验室(沈阳)股份有限公司 |
1 |
1 |
| 小安(北京)科技有限公司 |
1 |
1 |
| 深圳市魔方安全科技有限公司 |
1 |
1 |
| 广州乐轩玄彩电子科技有限公司 |
1 |
1 |
| 北京君云天下科技有限公司 |
1 |
1 |
| 北京机沃科技有限公司 |
1 |
1 |
| 东方电气集团科学技术研究院有限公司能源装备工控网络安全工程实验室 |
1 |
1 |
| CNCERT宁夏分中心 |
11 |
11 |
| CNCERT西藏分中心 |
9 |
9 |
| CNCERT山东分中心 |
6 |
6 |
| CNCERT贵州分中心 |
6 |
6 |
| CNCERT四川分中心 |
6 |
6 |
| CNCERT青海分中心 |
5 |
5 |
| CNCERT河北分中心 |
1 |
1 |
| CNCERT天津分中心 |
1 |
1 |
| CNCERT山西分中心 |
1 |
1 |
| 个人 |
3909 |
3909 |
| 合计 |
2216(去重) |
40122 |
表3 单位和个人上报漏洞统计
