登录  免费注册
当前位置:首页 > 月报 > 正文

漏洞信息月度通报2020年第5期

2020-06-01 18:56:38

情况综述

本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:

收集整理信息安全漏洞1687个,其中高危漏洞679个,中危漏洞858个,低危漏洞150个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有572个。


1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号

漏洞名称

编号及影响产品信息

影响描述

 

1

Google多款产品存在安全漏洞

CNVD编号

CNVD-2020-29226、CNVD-2020-29229

CNVD-2020-29228、CNVD-2020-29227

CNVD-2020-29232、CNVD-2020-29231

CNVD-2020-29230、CNVD-2020-29235

CNVD-2020-29234、CNVD-2020-29233

本月,Google多款产品存在安全漏洞。攻击者可利用漏洞绕过安全限制。本月漏洞包括:Google Chrome安全绕过漏洞(CNVD-2020-29226、CNVD-2020-29229、CNVD-2020-29228、CNVD-2020-29227、CNVD-2020-29232、CNVD-2020-29231、CNVD-2020-29230、CNVD-2020-29235、CNVD-2020-29234、CNVD-2020-29233)等。

 
 
 
 
 

其他编号

CVE-2020-6491、CVE-2020-6488

CVE-2020-6489、CVE-2020-6490

CVE-2020-6485、CVE-2020-6486

CVE-2020-6487、CVE-2020-6482

CVE-2020-6483、CVE-2020-6484

 
 
 
 
 

发布时间

2020/05/20

 

影响产品

Google Chrome

 
 
 
 

2

Oracle多款产品存在安全漏洞

CNVD编号

CNVD-2020-28000、CNVD-2020-27999

CNVD-2020-28004、CNVD-2020-29746

CNVD-2020-29745、CNVD-2020-29762

CNVD-2020-29765、CNVD-2020-29764

CNVD-2020-29763、CNVD-2020-29766

本月,Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响机密性、完整性和可用性。本月漏洞包括:Oracle Hospitality Reporting and Analytics未授权访问漏洞、Oracle WebLogic Server未授权访问漏洞(CNVD-2020-27999、CNVD-2020-28004)、Oracle Weblogic Server远程代码执行漏洞(CNVD-2020-29746、CNVD-2020-29745)、Oracle Advanced Outbound Telephony未授权访问漏洞(CNVD-2020-29762、CNVD-2020-29765、CNVD-2020-29764、CNVD-2020-29763、CNVD-2020-29766)等。

 
 
 
 
 

其他编号

CVE-2020-2746、CVE-2020-2867

CVE-2020-2514、CVE-2020-2811

CVE-2020-2869、CVE-2020-2857

CVE-2020-2871、CVE-2020-2854

CVE-2020-2856、CVE-2020-2852

 
 
 
 
 

发布时间

2020/05/26

 

影响产品

Oracle Hospitality Reporting and Analytics

Oracle Advanced Outbound Telephony

Oracle WebLogic Server

Oracle Database Server

 
 
 
 
 
 
 
 
 
 

3

Microsoft多款产品存在安全漏洞

CNVD编号

CNVD-2020-26242、CNVD-2020-26243

CNVD-2020-27782、CNVD-2020-28238

CNVD-2020-28440、CNVD-2020-28443

CNVD-2020-30660、CNVD-2020-30659

CNVD-2020-30662、CNVD-2020-30663

本月,Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞获取敏感信息,执行任意代码,损坏内存等。本月漏洞包括:Microsoft Windows Media Foundation缓冲区溢出漏洞(CNVD-2020-26242、CNVD-2020-26243)、Microsoft Actions Http-Client信息泄露漏洞、Microsoft ChakraCore和Edge远程代码执行漏洞(CNVD-2020-28238)、Microsoft Windows Network Driver Interface Specification信息泄露漏洞(CNVD-2020-28440)、Microsoft Word和Microsoft Outlook缓冲区溢出漏洞、Microsoft Windows Jet Database Engine远程代码执行漏洞(CNVD-2020-30660、CNVD-2020-30659、CNVD-2020-30662、CNVD-2020-30663)等。

 
 
 
 
 

其他编号

CVE-2020-0948、CVE-2020-0949

CVE-2020-11021、CVE-2020-0970

CVE-2020-0861、CVE-2020-0852

CVE-2020-0992、CVE-2020-0988

CVE-2020-0994、CVE-2020-0995

 
 
 
 
 

发布时间

2020/05/12

 

影响产品

Microsoft SharePoint Server 2019

Microsoft Windows Server 2012

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server 2008

Microsoft Office Online Server

Microsoft Office 2016 for Mac

Microsoft Windows RT 8.1

Microsoft Windows Server

Microsoft Office 2019

Microsoft Windows 8.1

Microsoft Windows 7

Microsoft Windows 10

Microsoft ChakraCore

Microsoft Edge

 
 
 
 
 
 
 
 

4

IBM多款产品存在安全漏洞

CNVD编号

CNVD-2020-27941、CNVD-2020-27940

CNVD-2020-27939、CNVD-2020-28955

CNVD-2020-28958、CNVD-2020-28960

CNVD-2020-28964、CNVD-2020-28962

CNVD-2020-28965、CNVD-2020-29556

本月,IBM多款产品存在安全漏洞。攻击者可利用漏洞绕过身份验证过程并获得系统的所有权限,执行任意代码,或导致应用程序崩溃(内存损坏)。本月漏洞包括:IBM Data Risk Manager代码执行漏洞、IBM Data Risk Manager操作系统命令注入漏洞、IBM Data Risk Manager授权问题漏洞、IBM i2 Analysts Notebook和IBM i2 Analysts Notebook Premium缓冲区溢出漏洞(CNVD-2020-28955、CNVD-2020-28958、CNVD-2020-28960、CNVD-2020-28964、CNVD-2020-28962、CNVD-2020-28965、CNVD-2020-29556)等。

 
 
 
 
 

其他编号

CVE-2020-4429、CVE-2020-4428

CVE-2020-4427、CVE-2020-4287

CVE-2020-4288、CVE-2020-4285

CVE-2020-4343、CVE-2020-4422

CVE-2020-4468、CVE-2020-4467

 
 
 
 
 

发布时间

2020/05/19

 

影响产品

IBM i2 Analysts Notebook Premium

IBM i2 Analysts Notebook

IBM Data Risk Manager

 

5

Cisco多款产品存在安全漏洞

CNVD编号

CNVD-2020-27104、CNVD-2020-27770

CNVD-2020-27772、CNVD-2020-27775

CNVD-2020-27777、CNVD-2020-27776

CNVD-2020-27789、CNVD-2020-29593

CNVD-2020-29594、CNVD-2020-29599

本月,Cisco多款产品存在安全漏洞。攻击者可利用漏洞绕过Kerberos身份验证,访问系统的敏感部分,上执行任意代码,造成拒绝服务等。本月漏洞包括:Cisco Firepower Management Center信任管理问题漏洞、Cisco Adaptive Security Appliances Software授权问题漏洞、Cisco Firepower Threat Defense资源管理错误漏洞(CNVD-2020-27772、CNVD-2020-27775、CNVD-2020-27776)、Cisco Firepower Device Manager On-Box输入验证错误漏洞、Cisco Mobility Express Software跨站请求伪造漏洞、Cisco Unified Contact Center Express输入验证错误漏洞(CNVD-2020-29593)、Cisco Prime Network Registrar输入验证错误漏洞、Cisco Firepower Threat Defense和Adaptive Security Appliances Software缓冲区溢出漏洞等。

 
 
 
 
 

其他编号

CVE-2020-3318、CVE-2020-3125

CVE-2020-3179、CVE-2020-3189

CVE-2020-3309、CVE-2020-3255

CVE-2020-3261、CVE-2020-3280

CVE-2020-3272、CVE-2020-3298

 
 
 
 
 

发布时间

2020/05/12

 

影响产品

Cisco Cisco Firepower Device Manager On-Box software

Cisco Firepower Threat Defense (FTD) Software

Cisco 6300 Embedded Services Access Points

Cisco Adaptive Security Appliances Software

Cisco Firepower Threat Defense Software

Cisco Aironet 2800 Series Access Points

Cisco Aironet 1800 Series Access Points

Cisco Aironet 3800 Series Access Points

Cisco Aironet 1560 Series Access Points

Cisco Aironet 4800 Series Access Points

Cisco Aironet 1540 Series Access Points

Cisco Catalyst IW6300 Access Points

Cisco Unified Contact Center Express

Cisco Firepower Management Center

Cisco Prime Network Registrar

Cisco ASA Software

 

6

Huawei多款产品存在安全漏洞

CNVD编号

CNVD-2020-27112、CNVD-2020-27114

CNVD-2020-27118、CNVD-2020-27117

CNVD-2020-27120、CNVD-2020-27119

CNVD-2020-27125、CNVD-2020-28976

CNVD-2020-28978、CNVD-2020-28982

本月,Huawei多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息,提升权限,导致拒绝服务等。本月漏洞包括:Huawei Honor V10越界读漏洞(CNVD-2020-27112、CNVD-2020-27114)、Huawei Lion-AL00C输入验证错误漏洞、Huawei OSD权限提升漏洞、Huawei PCManager权限提升漏洞(CNVD-2020-27120)、Huawei AR3200授权问题漏洞、Huawei Taurus-AL00B信息泄露漏洞、多款Huawei产品越界读漏洞(CNVD-2020-28976)、Huawei PCManager权限提升漏洞(CNVD-2020-28978)、Huawei NIP6800、Secospace USG6600和USG9500拒绝服务漏洞等。

 

其他编号

CVE-2020-1804、CVE-2020-1805

CVE-2020-1880、CVE-2020-9072

CVE-2020-1845、CVE-2020-9068

CVE-2020-9070、CVE-2020-1808

CVE-2020-1817、CVE-2020-1858

 
 
 
 
 

发布时间

2020/05/08

 

影响产品

Huawei Secospace USG6600

Huawei Honor 20 PRO

Huawei Honor Magic2

Huawei Taurus-AL00B

Huawei Honor View 20

Huawei Honor V10

Huawei Lion-AL00C

Huawei PCManager

Huawei Honor 20s

Huawei USG9500

Huawei AR3200

Huawei NIP6800

Huawei OSD

 

7

FreeRDP多款产品存在安全漏洞

CNVD编号

CNVD-2020-28987、CNVD-2020-28986

CNVD-2020-28990、CNVD-2020-28989

CNVD-2020-28992、CNVD-2020-29357

CNVD-2020-29356、CNVD-2020-29361

CNVD-2020-29359、CNVD-2020-29363

本月,FreeRDP多款产品存在安全漏洞。攻击者可利用漏洞导致缓冲区溢出或堆溢出等。本月漏洞包括:FreeRDP缓冲区溢出漏洞(CNVD-2020-28987、CNVD-2020-28986、CNVD-2020-28990、CNVD-2020-28989、CNVD-2020-28992、CNVD-2020-29357、CNVD-2020-29356、CNVD-2020-29361、CNVD-2020-29359、CNVD-2020-29363)

 
 
 

其他编号

CVE-2020-11522、CVE-2020-11521

CVE-2020-11525、CVE-2020-11524

CVE-2020-12874、CVE-2020-11042

CVE-2020-11058、CVE-2020-11047

CVE-2020-11045、CVE-2020-11049

 
 
 
 

8

WordPress多款产品存在安全漏洞

CNVD编号

CNVD-2020-27079、CNVD-2020-27080

CNVD-2020-27084、CNVD-2020-27085

CNVD-2020-27089、CNVD-2020-27087

CNVD-2020-28768、CNVD-2020-28774

CNVD-2020-28775、CNVD-2020-29839

本月,WordPress多款产品存在安全漏洞。攻击者可利用漏洞绕过访问限制,获取敏感信息,上传任意的可执行文件,进而执行任意代码等。本月漏洞包括:WordPress访问限制绕过漏洞(CNVD-2020-27079、CNVD-2020-27080)、WordPress Advanced Woo Search信息泄露漏洞、WordPress mappress-google-maps-for-wordpress代码问题漏洞、WordPress权限提升漏洞(CNVD-2020-27089)、WordPress data-tables-generator-by-supsystic跨站请求伪造漏洞、WordPress responsive-add-ons访问控制错误漏洞、WordPress wp-google-maps插件输入验证错误漏洞、WordPress跨站请求伪造漏洞(CNVD-2020-28775)、WordPress Elementor Pro代码问题漏洞等。

 
 
 
 
 

其他编号

CVE-2020-11027、CVE-2020-11028

CVE-2020-12070、CVE-2020-12077

CVE-2020-11514、CVE-2020-12076

CVE-2020-12073、CVE-2019-10692

CVE-2019-9787、CVE-2020-13126

 
 
 
 
 

发布时间

2020/05/18

 

影响产品

WordPress mappress-google-maps-for-wordpress

WordPress data-tables-generator-by-supsystic

WordPress responsive-add-ons

WordPress Advanced Woo Search

WordPress wp-google-maps plugin

WordPress Elementor Pro

WordPress WordPress

WordPress Rank Math

 

表1 本月重要漏洞信息


1.2漏洞被关注情况

根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如防火墙、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月应用程序占比例较大。与前4个月相比,本月操作系统、WEB应用和网络设备(交换机、路由器等网络端设备)的数量处于高位,应用程序、数据库、安全产品和智能设备(物联网终端设备)漏洞的数量处于低位。


图1 漏洞类型分布


     1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。

关注度排名

漏洞名称

CNVD编号

发布时间

1

Fastjson存在命令执行漏洞

CNVD-2020-30827

2020/05/28

2

ThinkPHP存在SQL注入漏洞(CNVD-2020-25573)

CNVD-2020-25573

2020/05/20

3

泛微OA e-Office存在命令执行漏洞(CNVD-2020-24722)

CNVD-2020-24722

2020/05/10

4

厦门服云信息科技有限公司网站安全狗(Apache)存在SQL注入绕过漏洞

CNVD-2020-23489

2020/05/01

5

php简易扫码付教育收费系统存在SQL注入漏洞(CNVD-2020-27166)

CNVD-2020-27166

2020/05/12

 表2 本月被关注漏洞TOP5

从表2可以看出,本月用户关注的主要是Fastjson存在命令执行漏洞,其访问量达到1792次以上。攻击者可利用该漏洞获取服务器权限。


    1.4漏洞趋势

本月,CNVD收集整理信息安全漏洞1687个,与前4个月平均收录数量1854个相比,处于低位;本月高危漏洞679个,与前4个月高危漏洞平均收录数量679个相比,处于低位。本月的总体漏洞趋势如图2所示。


图2 漏洞发布趋势

由图2所示,本月9日发布的安全漏洞数量最多,都高达228个,主要是因为收录了NETGEAR、Heybbs微社区等多款产品存在的多个漏洞。


      2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中,哈尔滨安天科技集团股份有限公司、阿里云计算有限公司、恒安嘉新(北京)科技股份公司、北京天融信网络安全技术有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。内蒙古奥创科技有限公司、中新网络信息安全股份有限公司、西安四叶草信息技术有限公司、杭州安恒信息技术股份有限公司、四川无声信息技术有限公司、腾讯安全云鼎实验室、北京安信天行科技有限公司、南京铱迅信息技术股份有限公司、深圳市腾讯计算机系统有限公司(玄武实验室)、远江盛邦(北京)网络安全科技股份有限公司、成都链安科技有限公司、国瑞数码零点实验室、山东新潮信息技术有限公司、北京铭图天成信息技术有限公司、北京华云安信息技术有限公司、河南灵创电子科技有限公司、杭州海康威视数字技术股份有限公司、长春嘉诚信息技术股份有限公司、上海观安信息技术股份有限公司、山东云天安全技术有限公司、北京墨云科技有限公司、北京天地和兴科技有限公司、京东云安全、北京圣博润高新技术股份有限公司、河北华测信息技术有限公司、博智安全科技股份有限公司、广州安亿信软件科技有限公司、河南信安世纪科技有限公司、山东道普测评技术有限公司、北京长亭科技有限公司、北京智游网安科技有限公司、北京浩瀚深度信息技术股份有限公司、北京顶象技术有限公司、山东华鲁科技发展股份有限公司、安徽风雪网络安全测评有限公司、深圳市魔方安全科技有限公司、安徽长泰信息安全服务有限公司、成都安美勤信息技术股份有限公司、北京丁牛科技有限公司、广州美杜莎网络科技有限公司、济南三泽信息安全测评有限公司、天津市兴先道科技有限公司、星云博创科技有限公司、郑州赛欧思科技有限公司及其他个人白帽子向CNVD提交了21500个以事件型漏洞为主的原创漏洞。其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的18208条原创漏洞信息。

单位或个人

漏洞上报总数

原创漏洞数量

奇安信网神(补天平台)

9453

9453

斗象科技(漏洞盒子)

6517

6517

上海交大

2238

2238

哈尔滨安天科技集团股份有限公司

1032

0

阿里云计算有限公司

993

0

恒安嘉新(北京)科技股份公司

889

0

北京天融信网络安全技术有限公司

791

9

新华三技术有限公司

611

0

华为技术有限公司

577

0

深信服科技股份有限公司

343

0

北京神州绿盟科技有限公司

281

47

北京启明星辰信息安全技术有限公司

265

3

北京奇虎科技有限公司

223

116

中国电信集团系统集成有限责任公司

135

59

北京数字观星科技有限公司

129

0

厦门服云信息科技有限公司

37

0

北京知道创宇信息技术股份有限公司

10

0

内蒙古奥创科技有限公司

297

297

中新网络信息安全股份有限公司

178

178

西安四叶草信息技术有限公司

39

39

杭州安恒信息技术股份有限公司

18

18

四川无声信息技术有限公司

15

15

腾讯安全云鼎实验室

2

2

北京安信天行科技有限公司

1

1

南京铱迅信息技术股份有限公司

1

1

深圳市腾讯计算机系统有限公司(玄武实验室)

1

1

远江盛邦(北京)网络安全科技股份有限公司

227

227

成都链安科技有限公司

155

155

国瑞数码零点实验室

155

155

山东新潮信息技术有限公司

95

95

北京铭图天成信息技术有限公司

68

68

北京华云安信息技术有限公司

62

62

河南灵创电子科技有限公司

60

60

杭州海康威视数字技术股份有限公司

56

56

杭州迪普科技股份有限公司

54

0

长春嘉诚信息技术股份有限公司

33

33

上海观安信息技术股份有限公司

27

27

山东云天安全技术有限公司

21

21

北京墨云科技有限公司

19

19

北京天地和兴科技有限公司

16

16

京东云安全

12

12

北京圣博润高新技术股份有限公司

8

8

河北华测信息技术有限公司

7

7

博智安全科技股份有限公司

7

7

广州安亿信软件科技有限公司

7

7

河南信安世纪科技有限公司

7

7

山东道普测评技术有限公司

6

6

北京长亭科技有限公司

5

5

北京智游网安科技有限公司

4

4

北京浩瀚深度信息技术股份有限公司

4

4

北京顶象技术有限公司

3

3

山东华鲁科技发展股份有限公司

3

3

安徽风雪网络安全测评有限公司

2

2

深圳市魔方安全科技有限公司

2

2

安徽长泰信息安全服务有限公司

1

1

成都安美勤信息技术股份有限公司

1

1

北京丁牛科技有限公司

1

1

广州美杜莎网络科技有限公司

1

1

济南三泽信息安全测评有限公司

1

1

天津市兴先道科技有限公司

1

1

星云博创科技有限公司

1

1

郑州赛欧思科技有限公司

1

1

个人

1427

1427

总计

1687(去重)

21500

表3 单位和个人上报漏洞统计
(编辑:CNVD) | 已有0条评论
登录 后才能发表评论
已有0条评论