漏洞信息月度通报2021年第11期-内蒙古电子信息学院信息中心

网络信息安全

漏洞信息月度通报2021年第11期

时间： 2022-01-18 00:00 点击：

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞2332个，其中高危漏洞605个，中危漏洞1529个，低危漏洞198个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1893个。

1. 本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息			影响描述
1	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-91284、CNVD-2021-91288 CNVD-2021-91287、CNVD-2021-91286 CNVD-2021-91285、CNVD-2021-91292 CNVD-2021-91291、CNVD-2021-91290 CNVD-2021-91289、CNVD-2021-91296		本月，Google多款产品存在安全漏洞。攻击者可利用此漏洞绕过安全限制等。本月漏洞包括：Google Chrome contacts picker安全绕过漏洞、Google Chrome input安全绕过漏洞、Google Chrome iframe sandbox安全绕过漏洞、Google Chrome referrer安全绕过漏洞、Google Chrome navigation安全绕过漏洞、Google Chrome service workers安全绕过漏洞、Google Chrome V8代码执行漏洞（ CNVD-2021-91291）、Google Chrome Swiftshader代码执行漏洞、Google Chrome background fetch安全绕过漏洞、Google Chrome V8代码执行漏洞（CNVD-2021-91296）等。




		其他编号	CVE-2021-38020、CVE-2021-38015 CVE-2021-38017、CVE-2021-38021 CVE-2021-38018、CVE-2021-38010 CVE-2021-38012、CVE-2021-38014 CVE-2021-38016、CVE-2021-38007




		发布时间	2021/11/25
		影响产品	Google Chrome






















2	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2021-89928、CNVD-2021-89929CNVD-2021-89930、CNVD-2021-89931CNVD-2021-89932、CNVD-2021-89935CNVD-2021-89934、CNVD-2021-89937CNVD-2021-89936、CNVD-2021-90318			本月，Adobe多款产品存在安全漏洞。攻击者可利用该漏洞执行任意代码等。本月漏洞包括：Adobe After Effects内存缓冲区越界访问漏洞（CNVD-2021-89928、CNVD-2021-89929、CNVD-2021-89930、CNVD-2021-89931、CNVD-2021-89932、CNVD-2021-89935、CNVD-2021-89934、CNVD-2021-89937、CNVD-2021-89936）、Adobe Media Encoder代码执行漏洞等。




		其他编号	CVE-2021-40760、CVE-2021-40758 CVE-2021-40759、CVE-2021-40757 CVE-2021-40755、CVE-2021-40752 CVE-2021-40754、CVE-2021-40751 CVE-2021-40753、CVE-2021-42726




		发布时间	2021/11/23
		影响产品	Adobe After Effects Adobe Media Encoder





















3	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-82972、CNVD-2021-82971CNVD-2021-82970、CNVD-2021-90797CNVD-2021-90800、CNVD-2021-90799CNVD-2021-90798、CNVD-2021-90803CNVD-2021-90802、CNVD-2021-90801			本月，Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞提升权限，实现远程代码执行等。本月漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2021-82972、CNVD-2021-82971、CNVD-2021-82970）、Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-90797、CNVD-2021-90800、CNVD-2021-90799、CNVD-2021-90798、CNVD-2021-90803、CNVD-2021-90802、CNVD-2021-90801）等。




		其他编号	CVE-2021-34520、CVE-2021-34467 CVE-2021-34468、CVE-2020-1133 CVE-2020-1529、CVE-2020-1590 CVE-2020-1130、CVE-2020-1381 CVE-2020-1382、CVE-2020-1406




		发布时间	2021/11/25
		影响产品	Microsoft SharePoint Enterprise Server Microsoft SharePoint Foundation Microsoft SharePoint Server Microsoft Windows 10 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Visual Studio 2017 Microsoft Windows Server Microsoft Visual Studio 2019 Microsoft Visual Studio 2015 Microsoft Windows Server 2008 Microsoft Windows 7 Microsoft Windows 8.1 Microsoft Windows RT 8.1 Microsoft Windows Server 2012 Microsoft Visual Studio





















4	Huawei多款产品存在安全漏洞	CNVD编号	CNVD-2021-83524、CNVD-2021-83528CNVD-2021-83527、CNVD-2021-83525CNVD-2021-83535、CNVD-2021-83540CNVD-2021-83538、CNVD-2021-83544CNVD-2021-84869、CNVD-2021-84877			本月，Huawei多款产品存在安全漏洞。攻击者可利用该漏洞提升权限，耗尽系统资源进而导致系统重启，执行任意代码等。本月漏洞包括：Huawei Emui和Magic UI代码注入漏洞、Huawei Emui和Magic UI竞争条件漏洞（CNVD-2021-83527）、Huawei Emui和Magic UI篡改内核漏洞（CNVD-2021-83525、CNVD-2021-83528）、Huawei Emui和Magic UI内核崩溃漏洞、Huawei iManager NetEco不正确签名管理漏洞、Huawei Emui和Magic UI内存越界访问漏洞、Huawei FusionCompute产品命令注入漏洞、Huawei Emui和Magic UI内存访问越界漏洞、Huawei Emui和Magic UI劫持未经验证提供商漏洞等。




		其他编号	CVE-2021-36985、CVE-2021-36990 CVE-2021-36987、CVE-2021-36986 CVE-2021-36989、CVE-2021-37127 CVE-2021-37002、CVE-2021-37102 CVE-2021-22474、CVE-2021-22403




		发布时间	2021/11/08
		影响产品	Huawei EMUI Huawei Magic UI Huawei iManager NetEco Huawei iManager NetEco 6000 Huawei FusionCompute





















5	ZOHO多款产品存在安全漏洞	CNVD编号	CNVD-2021-88235、CNVD-2021-88234CNVD-2021-88233、CNVD-2021-88236CNVD-2021-88241、CNVD-2021-88240CNVD-2021-88243、CNVD-2021-88249CNVD-2021-88248、CNVD-2021-88252			本月，ZOHO多款产品存在安全漏洞。攻击者可利用该漏洞提升权限，在系统中写入并执行任意文件等。本月漏洞包括：Zoho ManageEngine ADAudit Plus任意文件写入漏洞、Zoho ManageEngine ADManager Plus过滤器绕过漏洞、Zoho ManageEngine Patch Connect Plus远程代码执行漏洞、Zoho ManageEngine Applications Manager权限提升漏洞（CNVD-2021-88236）、Zoho ManageEngine OpManager SQL注入漏洞（CNVD-2021-88241、CNVD-2021-88240）、Zoho ManageEngine Desktop Central远程代码执行漏洞（CNVD-2021-88243）、ZOHO ManageEngine ADSelfService Plus远程代码执行漏洞（CNVD-2021-88249）、ZOHO ManageEngine ADSelfService Plus授权问题漏洞、Zoho ManageEngine ADSelfService Plus访问控制错误漏洞等。




		其他编号	CVE-2021-42847、CVE-2021-42002 CVE-2021-41833、CVE-2020-24743 CVE-2021-41075、CVE-2021-40493 CVE-2021-28960、CVE-2021-33055 CVE-2021-40539、CVE-2021-37421




		发布时间	2021/11/17
		影响产品	ZOHO ManageEngine ADAudit Plus ZOHO ManageEngine ADManager Plus ZOHO ManageEngine Patch Connect Plus ZOHO ManageEngine Applications Manager ZOHO manageengine opmanager ZOHO ManageEngine Desktop Central ZOHO ManageEngine ADSelfService Plus





















6	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2021-89423、CNVD-2021-89422CNVD-2021-89425、CNVD-2021-89433CNVD-2021-89432、CNVD-2021-89431CNVD-2021-89429、CNVD-2021-89436CNVD-2021-89440、CNVD-2021-89438			本月，Siemens多款产品存在安全漏洞。攻击者可利用该漏洞导致信息泄露和拒绝服务等。本月漏洞包括：Siemens Nucleus ReadyStart拒绝服务漏洞、Siemens SIMATIC PCS 7和SIMATIC WinCC路径遍历漏洞（CNVD-2021-89422、CNVD-2021-89425）、Siemens Climatix POL909 (AWM)信息泄露漏洞、Siemens Siveillance Video DLNA Server路径遍历漏洞、Siemens Mendix不正确授权漏洞、Siemens Sentron Powermanager本地代码执行漏洞、多款Siemens产品不正确零终止漏洞（CNVD-2021-89436、CNVD-2021-89440、CNVD-2021-89438）等。




		其他编号	CVE-2021-31890、CVE-2021-40358 CVE-2021-40359、CVE-2021-40366 CVE-2021-42021、CVE-2021-42025 CVE-2021-37207、CVE-2021-31888 CVE-2021-31884、CVE-2021-31886




		发布时间	2021/11/20
		影响产品	Siemens Nucleus ReadyStart Siemens SIMATIC PCS 7 Siemens SIMATIC WinCC Siemens Climatix POL909 (AWM module) Siemens Siveillance Video DLNA Server Siemens Mendix Applications using Mendix 8 Siemens Mendix Applications using Mendix 9 Siemens SENTRON powermanager Siemens Nucleus Source Code Siemens Nucleus NET Siemens Capital VSTAR Siemens Nucleus ReadyStart V3





















7	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-82418、CNVD-2021-87021CNVD-2021-87020、CNVD-2021-88191CNVD-2021-88198、CNVD-2021-89686CNVD-2021-91636、CNVD-2021-91635CNVD-2021-92467、CNVD-2021-92545			本月，IBM多款产品存在安全漏洞。攻击者可通过发送特制SQL语句利用该漏洞查看、添加、修改或删除后端数据库中的信息，执行任意命令等。本月漏洞包括：IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-82418、CNVD-2021-87020）、IBM TS7700授权问题漏洞、IBM Maximo Asset Management CSV注入漏洞（CNVD-2021-88198）、IBM Tivoli Key Lifecycle Manager信息泄露漏洞（CNVD-2021-89686、CNVD-2021-91636、CNVD-2021-91635）、IBM Tivoli Key Lifecycle Manager拒绝服务漏洞、IBM Planning Analytics注入漏洞、IBM Security Guardium硬编码凭证漏洞等。




		其他编号	CVE-2021-29798、CVE-2020-4690 CVE-2021-29903、CVE-2021-29908 CVE-2021-20509、CVE-2021-38975 CVE-2021-38978、CVE-2021-38983 CVE-2021-38873、CVE-2021-38974




		发布时间	2021/11/16
		影响产品	IBM Sterling B2B Integrator IBM Security Guardium IBM Sterling B2B Integrator IBM TS7700 IBM Maximo Asset Management IBM Tivoli Key Lifecycle Manager IBM Planning Analytics





















8	Dell多款产品存在安全漏洞	CNVD编号	CNVD-2021-91657、CNVD-2021-92436CNVD-2021-92440、CNVD-2021-92437CNVD-2021-92444、CNVD-2021-92455CNVD-2021-92452、CNVD-2021-92459CNVD-2021-92461、CNVD-2021-92544			本月，Dell多款产品存在安全漏洞。攻击者可利用该漏洞未经授权访问系统，执行任意命令等。本月漏洞包括：Dell EMC CloudLink硬编码密码漏洞、Dell Networking OS10身份验证绕过漏洞、Dell Networking X-Series身份验证绕过漏洞、Dell Networking OS10权限提升漏洞、Dell EMC CloudLink任意文件创建漏洞、Dell EMC IsilonSD Management Server加密问题漏洞、Dell BIOS输入验证错误漏洞（CNVD-2021-92452、CNVD-2021-92544）、Dell OpenManage Enterprise操作系统命令注入漏洞、DELL EMC OpenManage Enterprise-Modular操作系统命令注入漏洞等。




		其他编号	CVE-2021-36312、CVE-2021-36306 CVE-2021-36320、CVE-2021-36307 CVE-2021-36314、CVE-2021-36298 CVE-2021-36324、CVE-2021-21585 CVE-2020-5322、CVE-2021-36323




		发布时间		2021/11/30
		影响产品		Dell BIOS Dell EMC CloudLink Dell Networking OS10 DELL Networking X-Series Dell EMC IsilonSD Management Server DELL OpenManage Enterprise DELL OpenManage Enterprise-Modular

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月WEB应用和应用程序占比例较大。与前12个月相比，本月WEB应用、网络设备（交换机、路由器等网络端设备）、安全产品、智能设备（物联网终端设备）漏洞的数量处于高位，操作系统、应用程序、数据库漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	Xiaomi Mi WiFi存在任意文件读取漏洞	CNVD-2021-72099	2021/11/04
2	IBM Tivoli Key Lifecycle Manager跨站脚本漏洞（CNVD-2021-91634）	CNVD-2021-91634	2021/11/26
3	PiranhaCMS跨站请求伪造漏洞	CNVD-2021-90320	2021/11/24
4	网御Web应用安全防护系统存在弱口令漏洞（CNVD-2021-71692）	CNVD-2021-71692	2021/11/01
5	Huawei Emui和Magic UI篡改内核漏洞	CNVD-2021-83528	2021/11/01

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是Xiaomi Mi WiFi存在任意文件读取漏洞，其访问量达到32次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞2332个，与前12个月平均收录数量2050个相比，处于高位；本月高危漏洞605个，与前12个月高危漏洞平均收录数量582个相比，处于高位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月25日发布的安全漏洞数量最多，高达239个，主要是因为收录了Google、GitLab等多款产品存在的多个漏洞。

2. 单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京神州绿盟科技有限公司、哈尔滨安天科技集团股份有限公司、北京数字观星科技有限公司、新华三技术有限公司、恒安嘉新(北京)科技股份公司等单位报送公开收集的漏洞数量较多。北京华顺信安科技有限公司、广东蓝爵网络安全技术股份有限公司、贵州多彩宝互联网服务有限公司、北京信联科汇科技有限公司、杭州迪普科技股份有限公司、杭州海康威视数字技术股份有限公司、河南灵创电子科技有限公司、长春嘉诚信息技术股份有限公司、南京树安信息技术有限公司、新疆海狼科技有限公司、南京众智维信息科技有限公司、中国电信股份有限公司网络安全产品运营中心、北京山石网科信息技术有限公司、北京安帝科技有限公司、重庆都会信息科技有限公司、河南信安世纪科技有限公司、浙江木链物联网科技有限公司、北京华云安信息技术有限公司、北京云科安信科技有限公司（Seraph安全实验室）、山东新潮信息技术有限公司、福建省海峡信息技术有限公司、山东泽鹿安全技术有限公司、快页信息技术有限公司、内蒙古云科数据服务股份有限公司、京东云安全、星云博创科技有限公司、北京网御星云信息技术有限公司、内蒙古洞明科技有限公司、北京远禾科技有限公司、山东云天安全技术有限公司、上海纽盾科技股份有限公司、北京惠而特科技有限公司、广州易东信息安全技术有限公司、山石网科通信技术股份有限公司、天津偕行科技有限公司、北京水木羽林科技有限公司、山东港口科技集团烟台有限公司、广州安亿信软件科技有限公司、杭州天谷信息科技有限公司、北京威努特技术有限公司、博智安全科技股份有限公司、思而听网络科技有限公司、中国烟草总公司湖北省公司、云南南天电子信息产业股份有限公司、北方实验室（沈阳）股份有限公司、奇安信科技集团股份有限公司、苏州棱镜七彩信息科技有限公司、北京天地和兴科技有限公司、江苏智慧安全可信技术研究院、平安银河实验室、浙江大学控制科学与工程学院、广州百蕴启辰科技有限公司、郑州天宇鸿图电子科技有限公司、北京明朝万达科技股份有限公司、苏州棱镜七彩信息科技有限公司、百度在线网络技术有限公司、北京美亚柏科网络安全科技有限公司、中移（杭州）信息技术有限公司、北京机沃科技有限公司、北京未来智安科技有限公司、江苏耘和计算机系统工程有限公司、腾讯安全天马实验室、江苏云天网络安全技术有限公司、深圳市魔方安全科技有限公司、杭州美创科技有限公司、中国银河证券股份有限公司、宁波和利时信息安全研究院、中资网络信息安全科技有限公司、中国通信服务重庆公司、天讯瑞达通信技术有限公司及其他个人白帽子向CNVD提交了62261个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）、北京鸿腾智能科技有限公司和上海交大向CNVD共享的白帽子报送的52170条原创漏洞信息。

报送单位或个人	漏洞报送数量	原创漏洞数
斗象科技（漏洞盒子）	25005	25005
奇安信网神（补天平台）	23074	23074
上海交大	3097	3097
北京神州绿盟科技有限公司	1387	34
哈尔滨安天科技集团股份有限公司	1068	0
北京鸿腾智能科技有限公司	994	994
新华三技术有限公司	894	0
北京数字观星科技有限公司	890	0
恒安嘉新(北京)科技股份公司	529	0
深信服科技股份有限公司	493	0
华为技术有限公司	298	0
北京启明星辰信息安全技术有限公司	295	17
天津市国瑞数码安全系统股份有限公司	295	0
厦门服云信息科技有限公司	225	0
北京天融信网络安全技术有限公司	152	152
浙江大华技术股份有限公司	133	133
远江盛邦（北京）网络安全科技股份有限公司	116	116
西安四叶草信息技术有限公司	35	35
南京联成科技发展股份有限公司	30	30
杭州安恒信息技术股份有限公司	27	27
北京知道创宇信息技术有限公司	21	10
卫士通信息产业股份有限公司	13	13
沈阳东软系统集成工程有限公司	9	9
北京长亭科技有限公司	7	7
中兴通讯股份有限公司	1	1
内蒙古奥创科技有限公司	1	1
深圳市腾讯计算机系统有限公司（玄武实验室）	1	1
腾讯安全云鼎实验室	1	1
北京智游网安科技有限公司	1	1
贵州多彩宝互联网服务有限公司	960	960
北京华顺信安科技有限公司	656	1
广东蓝爵网络安全技术股份有限公司	597	597
北京信联科汇科技有限公司	502	502
联想集团	412	0
杭州迪普科技股份有限公司	307	220
杭州海康威视数字技术股份有限公司	299	299
河南灵创电子科技有限公司	287	287
长春嘉诚信息技术股份有限公司	209	209
南京树安信息技术有限公司	200	200
新疆海狼科技有限公司	188	188
南京众智维信息科技有限公司	114	114
中国电信股份有限公司网络安全产品运营中心	109	29
北京山石网科信息技术有限公司	100	100
安徽长泰科技有限公司	85	85
北京安帝科技有限公司	83	83
重庆都会信息科技有限公司	73	73
亚信科技（成都）有限公司	70	0
河南信安世纪科技有限公司	65	65
浙江木链物联网科技有限公司	61	61
北京华云安信息技术有限公司	56	56
北京云科安信科技有限公司（Seraph安全实验室）	54	54
山东新潮信息技术有限公司	54	54
福建省海峡信息技术有限公司	49	49
山东泽鹿安全技术有限公司	45	45
快页信息技术有限公司	43	43
内蒙古云科数据服务股份有限公司	36	36
西门子（中国）有限公司	36	0
京东云安全	28	28
星云博创科技有限公司	22	22
北京网御星云信息技术有限公司	19	19
内蒙古洞明科技有限公司	19	19
北京远禾科技有限公司	18	18
山东云天安全技术有限公司	15	15
上海纽盾科技股份有限公司	13	13
北京惠而特科技有限公司	11	11
广州易东信息安全技术有限公司	9	9
山石网科通信技术股份有限公司	8	8
天津偕行科技有限公司	8	8
北京水木羽林科技有限公司	7	7
山东港口科技集团烟台有限公司	7	7
广州安亿信软件科技有限公司	6	6
杭州天谷信息科技有限公司	5	5
北京威努特技术有限公司	5	5
博智安全科技股份有限公司	5	5
思而听网络科技有限公司	5	5
中国烟草总公司湖北省公司	4	4
云南南天电子信息产业股份有限公司	4	4
北方实验室（沈阳）股份有限公司	4	4
奇安信科技集团股份有限公司	4	4
苏州棱镜七彩信息科技有限公司	3	3
北京天地和兴科技有限公司	3	3
江苏智慧安全可信技术研究院	2	2
平安银河实验室	2	2
浙江大学控制科学与工程学院	2	2
广州百蕴启辰科技有限公司	2	2
郑州天宇鸿图电子科技有限公司	2	2
北京明朝万达科技股份有限公司	2	2
苏州棱镜七彩信息科技有限公司	2	2
百度在线网络技术有限公司	2	2
北京美亚柏科网络安全科技有限公司	2	2
中移（杭州）信息技术有限公司	2	2
北京机沃科技有限公司	2	2
北京未来智安科技有限公司	1	1
江苏耘和计算机系统工程有限公司	1	1
腾讯安全天马实验室	1	1
江苏云天网络安全技术有限公司	1	1
深圳市魔方安全科技有限公司	1	1
杭州美创科技有限公司	1	1
中国银河证券股份有限公司	1	1
宁波和利时信息安全研究院	1	1
中资网络信息安全科技有限公司	1	1
中国通信服务重庆公司	1	1
天讯瑞达通信技术有限公司	1	1
CNCERT北京分中心	23	23
CNCERT青海分中心	9	9
CNCERT宁夏分中心	8	8
CNCERT贵州分中心	7	7
CNCERT河北分中心	7	7
CNCERT四川分中心	5	5
CNCERT山东分中心	3	3
CNCERT内蒙古分中心	2	2
CNCERT浙江分中心	1	1
个人	5767	5756
报送总计	2332（去重）	63255

表3 单位和个人上报漏洞统计