情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞1293个,其中高危漏洞334个,中危漏洞817个,低危漏洞142个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有993个 。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
| 序号 |
漏洞名称 |
编号及影响产品信息 |
影响描述 |
| 1 |
Adobe多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-79743、CNVD-2021-79742CNVD-2021-79744、CNVD-2021-79746CNVD-2021-79745、CNVD-2021-79747CNVD-2021-79748、CNVD-2021-79750CNVD-2021-79749、CNVD-2021-79751 |
本月,Adobe多款产品存在安全漏洞。攻击者可利用漏洞读取任意文件系统,导致拒绝服务,执行任意代码等。本月漏洞包括:Adobe XMP Toolkit SDK越界读取漏洞(CNVD-2021-79742)、Adobe Photoshop缓冲区溢出漏洞(CNVD-2021-79743)、Adobe Genuine Service权限提升漏洞、Adobe Experience Manager输入验证不当漏洞、Adobe Experience Manager跨站脚本漏洞(CNVD-2021-79744、CNVD-2021-79748)、Adobe Experience Manager证书验证不当漏洞、Adobe Digital Editions权限提升漏洞(CNVD-2021-79751)、Adobe Digital Editions任意文件系统写入漏洞、Adobe Digital Editions OS命令注入漏洞(CNVD-2021-79749)等。 |
| 其他编号 |
CVE-2021-40709、CVE-2021-40716 CVE-2021-40714、CVE-2021-40712 CVE-2021-40713、CVE-2021-40708、 CVE-2021-40711、CVE-2021-39827 CVE-2021-39826、CVE-2021-39828 |
| 发布时间 |
2021/10/25 |
| 影响产品 |
Adobe Photoshop 2020 Adobe Photoshop 2021 Adobe XMP Toolkit SDK Adobe Experience Manager Adobe Experience Manager CS Adobe Genuine Service Adobe Digital Editions |
| 2 |
Oracle多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-80244、CNVD-2021-80242CNVD-2021-80247、CNVD-2021-80246CNVD-2021-80245、CNVD-2021-80250CNVD-2021-80249、CNVD-2021-80248CNVD-2021-80253、CNVD-2021-80252 |
本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞操纵数据,执行拒绝服务(DoS)攻击等。本月漏洞包括:Oracle MySQL Server输入验证错误漏洞(CNVD-2021-80244、CNVD-2021-80242、CNVD-2021-80247、CNVD-2021-80246、CNVD-2021-80245、CNVD-2021-80250、CNVD-2021-80249、CNVD-2021-80248、CNVD-2021-80253、CNVD-2021-80252)等。 |
| 其他编号 |
CVE-2021-35639、CVE-2021-35640 CVE-2021-35637、CVE-2021-35546 CVE-2021-35622、CVE-2021-35646 CVE-2021-35647、CVE-2021-35630 CVE-2021-35643、CVE-2021-35644 |
| 发布时间 |
2021/10/26 |
| 影响产品 |
Oracle MySQL Server |
| 3 |
HPE多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-80165、CNVD-2021-80164CNVD-2021-80163、CNVD-2021-80169CNVD-2021-80168、CNVD-2021-80167CNVD-2021-80166、CNVD-2021-80172CNVD-2021-80171、CNVD-2021-80170 |
本月,HPE多款产品存在安全漏洞。攻击者可以利用漏洞越权访问web界面的敏感信息,root用户身份在服务器上执行任意命令,从而导致系统完全受损等。本月漏洞包括:HPE Aruba ClearPass Policy Manager远程命令注入漏洞(CNVD-2021-80165、CNVD-2021-80164、CNVD-2021-80166、CNVD-2021-80172)、HPE Aruba ClearPass Policy Manager信息泄露漏洞(CNVD-2021-80163、CNVD-2021-80169)、HPE Aruba ClearPass Policy Manager本地权限提升漏洞、HPE Aruba ClearPass Policy Manager远程目录遍历漏洞、HPE Aruba ClearPass Policy Manager SQL注入漏洞(CNVD-2021-80170、CNVD-2021-80171)等。 |
| 其他编号 |
CVE-2021-40986、CVE-2021-37739 CVE-2021-37738、CVE-2021-40990 CVE-2021-40989、CVE-2021-40988 CVE-2021-40987、CVE-2021-40994 CVE-2021-40993、CVE-2021-40992 |
| 发布时间 |
2021/10/26 |
| 影响产品 |
HPE Aruba ClearPass Policy Manager |
| 4 |
Cisco多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-80658、CNVD-2021-80662CNVD-2021-80660、CNVD-2021-80659CNVD-2021-80665、CNVD-2021-80664CNVD-2021-80663、CNVD-2021-80669CNVD-2021-80667、CNVD-2021-80666 |
本月,Cisco多款产品存在安全漏洞。攻击者可利用该漏洞导致恶意注入,发送大量的snmp请求导致拒绝服务,在受影响的命令的参数中包含恶意输入来执行具有更高权限的任意命令等。本月漏洞包括:Cisco IOS XE SD-WAN Software命令注入漏洞、Cisco IOS XE Software身份验证绕过漏洞、Cisco IOS XE Software绕过漏洞、Cisco IOS XE Software拒绝服务漏洞(CNVD-2021-80665、CNVD-2021-80663、CNVD-2021-80662)、Cisco IOS XE Software访问控制错误漏洞(CNVD-2021-80664)、Cisco IOS和Cisco IOS XE Software输入验证错误漏洞、Cisco IOS和Cisco IOS XE Software拒绝服务漏洞(CNVD-2021-80666、CNVD-2021-80669)等。 |
| 其他编号 |
CVE-2021-34729、CVE-2021-1623 CVE-2021-1619、CVE-2021-1616 CVE-2021-34697、CVE-2021-1625 CVE-2021-1624、CVE-2021-34699 CVE-2021-34705、CVE-2021-34703 |
| 发布时间 |
2021/10/27 |
| 影响产品 |
Cisco IOS Cisco IOS XE Cisco IOS XE SD-WAN Software Cisco Catalyst 4000 Series Switches Cisco 2800 Series Integrated Services Routers |
| 5 |
Siemens多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-77584、CNVD-2021-77587CNVD-2021-77586、CNVD-2021-77585CNVD-2021-77591、CNVD-2021-77590CNVD-2021-77589、CNVD-2021-77588CNVD-2021-77595、CNVD-2021-77594 |
本月,Siemens多款产品存在安全漏洞。攻击者可利用漏洞删除用户控制路径下的任意文件或目录,通过向受影响应用程序的web服务器发送手工请求来执行本地数据库中的任意命令等。本月漏洞包括:Siemens SINEC NMS路径遍历漏洞(CNVD-2021-77584、CNVD-2021-77595)、Siemens SINEC NMS SQL注入漏洞(CNVD-2021-77587、CNVD-2021-77586、CNVD-2021-77591、CNVD-2021-77589、CNVD-2021-77594)、Siemens SINEC NMS用户配置文件下载漏洞、Siemens SINEC NMS代码问题漏洞、Siemens SINEC NMS用户配置文件更改漏洞等。 |
| 其他编号 |
CVE-2021-33725、CVE-2021-33736 CVE-2021-33735、CVE-2021-33728 CVE-2021-33734、CVE-2021-33723 CVE-2021-33732、CVE-2021-33727 CVE-2021-33722、CVE-2021-33730 |
| 发布时间 |
2021/10/15 |
| 影响产品 |
Siemens SINEC NMS |
| 6 |
Google多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-77613、CNVD-2021-77616CNVD-2021-77618、CNVD-2021-77617CNVD-2021-78781、CNVD-2021-78780CNVD-2021-80274、CNVD-2021-80277CNVD-2021-80276、CNVD-2021-80275 |
本月,Google多款产品存在安全漏洞。攻击者可利用漏洞获得提升的权限,使缓冲区溢出并在系统上执行任意代码等。本月漏洞包括:Google Android代码执行漏洞(CNVD-2021-77613)、Google Android权限提升漏洞(CNVD-2021-77616、CNVD-2021-77618、CNVD-2021-77617、CNVD-2021-80274、CNVD-2021-80277、CNVD-2021-80276、CNVD-2021-80275)、Google Android MessageQueueBase.h缓冲区溢出漏洞、Google Android WideVine代码执行漏洞等。 |
| 其他编号 |
CVE-2021-0870、CVE-2021-0483 CVE-2021-0702、CVE-2021-0651 CVE-2021-0577、CVE-2021-0592 CVE-2021-0708、CVE-2021-0703 CVE-2021-0652、CVE-2021-0705 |
| 发布时间 |
2021/10/26 |
| 影响产品 |
Google Android |
| 7 |
Microsoft多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-76462、CNVD-2021-76465CNVD-2021-76464、CNVD-2021-76463CNVD-2021-76466、CNVD-2021-76471CNVD-2021-76470、CNVD-2021-76469CNVD-2021-76473、CNVD-2021-76472 |
本月,Microsoft多款产品存在安全漏洞。攻击者可利用漏洞向目标发送恶意DNS查询导致DNS服务无响应,或诱使受害者打开特制文件在受害者系统上执行任意代码等。本月漏洞包括:Microsoft Windows Server远程代码执行漏洞(CNVD-2021-76462、CNVD-2021-76465、CNVD-2021-76464、CNVD-2021-76463)、Microsoft Windows和Microsoft Windows Server远程代码执行漏洞(CNVD-2021-76466)、Microsoft Windows Server拒绝服务漏洞(CNVD-2021-76471、CNVD-2021-76470、CNVD-2021-76469)、Microsoft Windows和Windows Server权限提升漏洞(CNVD-2021-76473、CNVD-2021-76472)等。 |
| 其他编号 |
CVE-2021-33780、CVE-2021-34525 CVE-2021-33746、CVE-2021-33754 CVE-2020-1008、CVE-2020-0836 CVE-2021-34499、CVE-2021-33745 CVE-2021-28347、CVE-2021-28351 |
| 发布时间 |
2021/10/12 |
| 影响产品 |
Microsoft Windows Server 2008 R2 SP1 Microsoft Windows Server 2012 R2 Microsoft Windows 10 Microsoft Windows Server 2008 SP2 Microsoft Windows Server 2016 SP2 Microsoft Windows Server 2008 Microsoft Windows 10 1607 Microsoft Windows Server 2019 Microsoft Windows 7 SP1 Microsoft Windows Server 2016 Microsoft Windows Server 2004 Microsoft Windows 8.1 Microsoft Windows Server 20H2 Microsoft Windows 10 1803 Microsoft Windows Server 1903 Microsoft Windows 10 1809 Microsoft Windows Server 1909 |
| 8 |
ZOHO多款产品存在安全漏洞 |
CNVD编号 |
CNVD-2021-76082、CNVD-2021-78727CNVD-2021-78730、CNVD-2021-78729CNVD-2021-78728、CNVD-2021-78733CNVD-2021-78732、CNVD-2021-78731CNVD-2021-78736、CNVD-2021-78735 |
本月,ZOHO多款产品存在安全漏洞。攻击者可利用漏洞导致远程代码执行。本月漏洞包括:ZOHO ManageEngine ADManager Plus代码执行漏洞、ZOHO ManageEngine ADManager Plus文件上传漏洞(CNVD-2021-78727、CNVD-2021-78730、CNVD-2021-78729、CNVD-2021-78728、CNVD-2021-78733、CNVD-2021-78732、CNVD-2021-78731、CNVD-2021-78736、CNVD-2021-78735)等。 |
| 其他编号 |
CVE-2021-37539、CVE-2021-37762 CVE-2021-37920、CVE-2021-37919 CVE-2021-37918、CVE-2021-37926 CVE-2021-37928、CVE-2021-37929 CVE-2021-37921、CVE-2021-37923 |
| 发布时间 |
2021/10/20 |
| 影响产品 |
ZOHO ManageEngine ADManager Plus |
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月数据库、智能设备(物联网终端设备)的数量处于高位,应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)、安全产品、操作系统漏洞的数量处于低位 。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
| 关注度排名 |
漏洞名称 |
CNVD编号 |
发布时间 |
| 1 |
Microsoft Windows Server拒绝服务漏洞(CNVD-2021-76467) |
CNVD-2021-76467 |
2021/10/12 |
| 2 |
E-Mobile存在命令执行漏洞(CNVD-2021-67574) |
CNVD-2021-67574 |
2021/10/17 |
| 3 |
Oracle MySQL Server输入验证错误漏洞(CNVD-2021-80242) |
CNVD-2021-80242 |
2021/10/26 |
| 4 |
Domainmod跨站请求伪造漏洞(CNVD-2021-70163) |
CNVD-2021-70163 |
2021/10/12 |
| 5 |
新天科技股份有限公司智能表综合管理系统存在SQL注入漏洞(CNVD-2021-70043) |
CNVD-2021-70043 |
2021/10/25 |
表
2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是Microsoft Windows Server拒绝服务漏洞(CNVD-2021-76467) ,其访问量达到105次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞1293个,与前12个月平均收录数量2056个相比,处于低位;本月高危漏洞334个,与前12个月高危漏洞平均收录数量593个相比,处于低位 。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月3日发布的安全漏洞数量最多,高达169个,主要是因为收录了文电通PDF阅读器、魅思视频系统等多款产品存在的多个漏洞。
2. 单位和个人上报漏洞统计
本月报送情况如表3所示。其中,北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京数字观星科技有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。山东云天安全技术有限公司、广东蓝爵网络安全技术股份有限公司、北京山石网科信息技术有限公司、河南灵创电子科技有限公司 、北京信联科汇科技有限公司、南京众智维信息科技有限公司、京东云安全、杭州海康威视数字技术股份有限公司、杭州迪普科技股份有限公司、亚信科技(成都)有限公司、北京安帝科技有限公司、北京华云安信息技术有限公司、安徽长泰科技有限公司、河南信安世纪科技有限公司、新疆海狼科技有限公司、国家计算机网络应急技术处理协调中心、北京惠而特科技有限公司、内蒙古云科数据服务股份有限公司、长春嘉诚信息技术股份有限公司、重庆都会信息科技有限公司、内蒙古洞明科技有限公司、北京云科安信科技有限公司(Seraph安全实验室)、西门子(中国)有限公司、北京大学、山东新潮信息技术有限公司、北京网御星云信息技术有限公司、信联科技(南京)有限公司、浙江木链物联网科技有限公司、江苏快页信息技术有限公司、星云博创科技有限公司、北京远禾科技有限公司、南京树安信息技术有限公司、福建省海峡信息技术有限公司、北京天地和兴科技有限公司、平安银河实验室、广州安亿信软件科技有限公司、博智安全科技股份有限公司、山石网科通信技术股份有限公司、云南南天电子信息产业股份有限公司、北京水木羽林科技有限公司、百度在线网络技术有限公司、北京云弈科技有限公司、奇安信科技集团股份有限公司、天讯瑞达通信技术有限公司、中国烟草总公司湖北省公司、北京机沃科技有限公司、北京威努特技术有限公司、华润(集团)有限公司、华泰人寿保险股份有限公司、陕西省网络与信息安全测评中心、思而听网络科技有限公司、银保信科技(北京)有限公司、山东泽鹿安全技术有限公司、国家互联网应急中心、中国—东盟信息港股份有限公司、北京君云天下科技有限公司、北京科技大学、海通证券股份有限公司、南京领行科技股份有限公司、武汉绿色网络信息服务有限责任公司、中国银行及其他个人白帽子向CNVD提交了32048个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的23345条原创漏洞信息。
| 单位或个人 |
漏洞上报总数 |
原创漏洞数量 |
| 奇安信网神(补天平台) |
8408 |
8408 |
| 斗象科技(漏洞盒子) |
12207 |
12207 |
| 上海交大 |
2730 |
2730 |
| 北京天融信网络安全技术有限公司 |
1234 |
42 |
| 北京神州绿盟科技有限公司 |
1058 |
38 |
| 哈尔滨安天科技集团股份有限公司 |
861 |
0 |
| 北京数字观星科技有限公司 |
776 |
0 |
| 新华三技术有限公司 |
691 |
2 |
| 北京鸿腾智能科技有限公司 |
631 |
0 |
| 华为技术有限公司 |
550 |
0 |
| 深信服科技股份有限公司 |
382 |
0 |
| 北京启明星辰信息安全技术有限公司 |
297 |
80 |
| 恒安嘉新(北京)科技股份公司 |
297 |
0 |
| 国瑞数码零点实验室 |
234 |
0 |
| 厦门服云信息科技有限公司 |
195 |
0 |
| 远江盛邦(北京)网络安全科技股份有限公司 |
105 |
105 |
| 南京联成科技发展股份有限公司 |
85 |
85 |
| 西安四叶草信息技术有限公司 |
36 |
36 |
| 卫士通信息产业股份有限公司 |
17 |
14 |
| 杭州安恒信息技术股份有限公司 |
7 |
7 |
| 北京安信天行科技有限公司 |
4 |
4 |
| 北京知道创宇信息技术股份有限公司 |
3 |
3 |
| 内蒙古奥创科技有限公司 |
1 |
1 |
| 山东云天安全技术有限公司 |
1089 |
1089 |
| 联想全球安全实验室 |
816 |
0 |
| 广东蓝爵网络安全技术股份有限公司 |
673 |
673 |
| 北京山石网科信息技术有限公司 |
346 |
346 |
| 北京华顺信安科技有限公司 |
328 |
0 |
| 河南灵创电子科技有限公司 |
323 |
323 |
| 北京信联科汇科技有限公司 |
297 |
297 |
| 南京众智维信息科技有限公司 |
271 |
271 |
| 京东云安全 |
187 |
187 |
| 杭州海康威视数字技术股份有限公司 |
159 |
159 |
| 杭州迪普科技股份有限公司 |
141 |
98 |
| 亚信科技(成都)有限公司 |
114 |
101 |
| 北京安帝科技有限公司 |
101 |
101 |
| 北京华云安信息技术有限公司 |
95 |
95 |
| 安徽长泰科技有限公司 |
78 |
78 |
| 河南信安世纪科技有限公司 |
78 |
78 |
| 新疆海狼科技有限公司 |
73 |
73 |
| 中国电信股份有限公司网络安全产品运营中心 |
60 |
0 |
| 国家计算机网络应急技术处理协调中心 |
47 |
47 |
| 北京惠而特科技有限公司 |
43 |
43 |
| 内蒙古云科数据服务股份有限公司 |
39 |
39 |
| 长春嘉诚信息技术股份有限公司 |
39 |
39 |
| 重庆都会信息科技有限公司 |
37 |
37 |
| 内蒙古洞明科技有限公司 |
34 |
34 |
| 北京云科安信科技有限公司(Seraph安全实验室) |
33 |
33 |
| 西门子(中国)有限公司 |
33 |
0 |
| 北京大学 |
31 |
31 |
| 山东新潮信息技术有限公司 |
29 |
29 |
| 北京网御星云信息技术有限公司 |
28 |
28 |
| 信联科技(南京)有限公司 |
26 |
26 |
| 浙江木链物联网科技有限公司 |
22 |
22 |
| 江苏快页信息技术有限公司 |
18 |
18 |
| 星云博创科技有限公司 |
15 |
15 |
| 北京远禾科技有限公司 |
14 |
14 |
| 南京树安信息技术有限公司 |
11 |
11 |
| 福建省海峡信息技术有限公司 |
9 |
9 |
| 北京天地和兴科技有限公司 |
7 |
7 |
| 平安银河实验室 |
7 |
7 |
| 广州安亿信软件科技有限公司 |
6 |
6 |
| 博智安全科技股份有限公司 |
5 |
5 |
| 山石网科通信技术股份有限公司 |
5 |
5 |
| 云南南天电子信息产业股份有限公司 |
5 |
5 |
| 北京水木羽林科技有限公司 |
4 |
4 |
| 百度在线网络技术有限公司 |
3 |
3 |
| 北京云弈科技有限公司 |
3 |
3 |
| 奇安信科技集团股份有限公司 |
3 |
3 |
| 天讯瑞达通信技术有限公司 |
3 |
3 |
| 中国烟草总公司湖北省公司 |
3 |
3 |
| 北京机沃科技有限公司 |
2 |
2 |
| 北京威努特技术有限公司 |
2 |
2 |
| 华润(集团)有限公司 |
2 |
2 |
| 华泰人寿保险股份有限公司 |
2 |
2 |
| 陕西省网络与信息安全测评中心 |
2 |
2 |
| 思而听网络科技有限公司 |
2 |
2 |
| 银保信科技(北京)有限公司 |
2 |
2 |
| 山东泽鹿安全技术有限公司 |
2 |
2 |
| 国家互联网应急中心 |
2 |
2 |
| 中国—东盟信息港股份有限公司 |
2 |
2 |
| 北京君云天下科技有限公司 |
1 |
1 |
| 北京科技大学 |
1 |
1 |
| 海通证券股份有限公司 |
1 |
1 |
| 南京领行科技股份有限公司 |
1 |
1 |
| 武汉绿色网络信息服务有限责任公司 |
1 |
1 |
| 中国银行 |
1 |
1 |
| CNCERT宁夏分中心 |
21 |
21 |
| CNCERT贵州分中心 |
6 |
6 |
| CNCERT四川分中心 |
5 |
5 |
| CNCERT浙江分中心 |
4 |
4 |
| CNCERT云南分中心 |
1 |
1 |
| 个人 |
3725 |
3725 |
| 合计 |
1293(去重) |
32048 |
表3 单位和个人上报漏洞统计
