CNVD漏洞周报2019年第20期

2019年05月13 日-2019年05月19日

本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞363个，其中高危漏洞111个、中危漏洞203个、低危漏洞49个。漏洞平均分值为5.77。本周收录的漏洞中，涉及0day漏洞141个（占39%），其中互联网上出现“WordPress插件Form Maker SQL注入漏洞、PHP-Fusion 'Edit Profile'远程代码执行漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1672与上周（3387个）环比下降51%。

图1 CNVD收录漏洞近10周平均分值分布图

图 2 CNVD 0day漏洞总数按周统计

本周漏洞事件处置情况

本周， CNVD向基础电信企业通报漏洞事件7起，向银行、保险、能源等重要行业单位通报漏洞事件14起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件344起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件12起。

图3 CNVD各行业漏洞处置情况按周统计

图4 CNCERT各分中心处置情况按周统计

此外，CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞，具体处置单位情况如下所示：

北京火绒网络科技有限公司、苏州聚尚网络科技有限公司、郑州路之易科技有限公司、厦门建发房地产集团有限公司、深圳市锟铻科技有限公司、上海茸易科技有限公司、深圳市物联锁科技有限公司、泰州智搜网络科技有限公司、南京尚网网络科技有限公司、四川蜀品天下信息技术有限公司、迈普通信技术股份有限公司、福州凌夕网络科技有限公司、深圳搜豹网络有限公司、南昌百恒信息技术有限公司、开开物联（北京）信息技术有限公司、邳州天目网络科技有限公司、厦门易尔通网络科技有限公司、浪潮集团有限公司、中国中铁隧道股份有限公司、湖南心艾网络科技有限公司、成都动力无限科技有限公司、浙江逆天网络科技有限责任公司  北京市建设工程发包承包交易中心、中国科技金融促进会、北京中交诚通工程技术研究院、帝国软件、微派科技、鲶鱼CMS、易优CMS、爱客CMS、EarCMS、JeeWeb 、Joomla、Nsasoft US、WellCMS、Socusoft。

本周，CNVD发布了《Microsoft发布2019年5月安全更新》、《关于Microsoft远程桌面服务存在远程代码执行漏洞的安全公告》。详情参见CNVD网站公告内容。

http://www.cnvd.org.cn/webinfo/show/5019

http://www.cnvd.org.cn/webinfo/show/5021

本周漏洞报送情况统计

本周报送情况如表1所示。 其中，哈尔滨安天科技集团股份有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、恒安嘉新(北京)科技股份公司等单位报送公开收集的漏洞数量较多。任子行网络技术股份有限公司、国瑞数码零点实验室、内蒙古奥创科技有限公司、中新网络信息安全股份有限公司、泰山信息科技有限公司、南京联成科技发展股份有限公司、上海并擎软件科技有限公司、北京圣博润高新技术股份有限公司、河南信安世纪科技有限公司、广州市眯眼猫信息科技有限公司、山东华鲁科技发展股份有限公司、新疆海狼科技有限公司、山石网科通信技术有限公司、长春嘉诚信息技术股份有限公司及其他个人白帽子向CNVD提交了1672个以事件型漏洞为主的原创漏洞，其中包括奇安信网神（补天平台）和斗象科技（漏洞盒子）向CNVD共享的白帽子报送的1116条原创漏洞信息。

表1 漏洞报送情况统计表

本周漏洞按类型和厂商统计

本周，CNVD收录了363个漏洞。应用程序171个，WEB应用94个，操作系统49个，网络设备（交换机、路由器等网络端设备）25个，安全产品12个，数据库5个，智能设备（物联网终端设备）漏洞7个。

表2 漏洞按影响类

图5 本周漏洞按影响类型分布

CNVD整理和发布的漏洞涉及Microsoft、Cisco、Foxit等多家厂商的产品，部分漏洞数量按厂商统计如表3所示。

表3 漏洞产品涉及厂商分布统计表

本周行业漏洞收录情况

本周，本周，收录了40个电信行业漏洞，6个移动互联网行业漏洞，10个工控行业漏洞（如下图所示）。其中，“Cisco NX-OS Software和Cisco FXOS Software拒绝服务漏洞、多款Cisco产品输入验证错误漏洞、Cisco IOS和IOS XE ISDN接口拒绝服务漏洞”的综合评级为“高危”。相关厂商已经发布了上述漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图6 电信行业漏洞统计

图7 移动互联网行业漏洞统计

图8 工控系统行业漏洞统计

本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Microsoft产品安全漏洞

Microsoft Jet Database Engine是一个底层数据库引擎。本周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Jet Database Engine远程代码执行漏洞（CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458、CNVD-2019-14460、CNVD-2019-14462）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14454

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14455

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14457

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14456

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14459

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14458

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14460

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14462

2、Cisco产品安全漏洞

Cisco IOS是一套为其网络设备开发的操作系统。Cisco NX-OS是适用于思科Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。本周，上述产品被披露存在拒绝服务和命令注入漏洞，攻击者可利用漏洞执行任意命令，发起拒绝服务攻击。

CNVD收录的相关漏洞包括：Cisco IOS NAT64拒绝服务漏洞、Cisco NX-OS命令注入漏洞（CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、CNVD-2019-14623）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14103

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14614

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14613

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14615

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14619

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14620

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14621

http://www.cnvd.org.cn/flaw/show/CNVD-2019-14623

3、Foxit产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是一款PDF文档阅读器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令等。

CNVD收录的相关漏洞包括：Foxit Reader和Foxit PhantomPDF for Windows缓冲区溢出漏洞（CNVD-2019-13808）、Foxit Reade和Foxit PhantomPDF for Windows路径遍历漏洞、Foxit Reader和Foxit PhantomPDF for Windows资源管理错误漏洞（CNVD-2019-13810）、Foxit Reader和Foxit PhantomPDF for Windows越界写入漏洞（CNVD-2019-13812、CNVD-2019-13813、CNVD-2019-13817）、Foxit Reader和Foxit PhantomPDF for Windows信息泄露漏洞（CNVD-2019-13811）、Foxit Reader和Foxit PhantomPDF for Windows越界读取漏洞（CNVD-2019-13818）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13808

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13807

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13810

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13812

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13811

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13813

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13817

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13818

4、doorGets产品安全漏洞

doorGets是一款免费开源内容管理系统。本周，该产品被披露存在SQL注入和敏感信息泄露漏洞，攻击者可利用漏洞获取数据库敏感信息。

CNVD收录的相关漏洞包括：doorGets敏感信息泄露漏洞（CNVD-2019-13789、CNVD-2019-13788、CNVD-2019-13791、CNVD-2019-13790、CNVD-2019-13793、CNVD-2019-13792）、doorGets SQL注入漏洞（CNVD-2019-13795、CNVD-2019-13796）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13789

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13788

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13791

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13790

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13793

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13792

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13795

http://www.cnvd.org.cn/flaw/show/CNVD-2019-13796

5、ZyXEL NSA325 V2跨站请求伪造漏洞