漏洞开源网店系统

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞395个,其中高危漏洞120个、中危漏洞214个、低危漏洞61个.
漏洞平均分值为5.
94.
本周收录的漏洞中,涉及0day漏洞184个(占47%),其中互联网上出现"wolfSSL缓冲区过读漏洞、EncodeOSSUvicorn注入漏洞"等零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数4221个,与上周(2739个)环比增加54%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞事件处置情况本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件19起,向基础电信企业通报漏洞事件2起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞5.
845.
726.
085.
755.
975.
465.
406.
105.
755.
955.
945.
205.
405.
605.
806.
006.
206.
406.
606.
807.
00CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2020年08月03日-2020年08月09日2020年第32期事件282起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件42起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件28起.
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:抚顺市众联网络技术有限公司、长沙米拓信息技术有限公司、佛山电器照明股份有限公司、哈尔滨伟成科技有限公司、杭州橙诺科技有限公司、厦门科拓通讯技术股份有限公司、杭州雄伟科技开发股份有限公司、天津市集翔企商科技有限公司、福建福昕软件开发股份有限公司、湖南火烧云信息科技有限责任公司、广西桂天能源集团有限公司、深圳市吉祥腾达科技有限公司、山西牛酷信息科技有限公司、商派软件有限公司、汉中启元动力网络有限公司、北京通达信科科技有限公司、成都汇高软件有限公司、北京辰信领创信息技术有限公司、上海商创网络科技有限公司、通用电气(GE)公司、南充优创营销策划有限公司、山东百灵健康咨询有限公司、深圳品誉实业有限公司、重庆扬浪科技有限责任公司、深圳市鼎游信息技术有限公司、上海易正信息技术有限公司、洛阳云业信息科技有限公司、西安嘉客信息科技有限责任公司、深圳市月歌科技有限公司、沈阳数业信息技术有限公司、广西雄基伟业广告有限公司、联信摩贝软件(北京)有限公司、青岛和晟思壮测控技术有限公司、《中国学术期刊(光盘版)》电子杂志社有限公司、西门子(中国)有限公司、上海纵之格科技有限公司、海南易而优科技有限公司、三鼎燃气集团有限公司、厦门三速信网络科技有限公司、廊坊市极致网络科技有限公司、金华就约我吧网络科技有限公司、海南赞赞网络科技有限公司、浙江浙大中控信息技术有限公司、东莞市鼎点网络科技有限公司、淄博闪灵网络科技有限公司、深圳警翼智能科技股份有限公司、上海卓卓网络科技有限公司、安徽希望网络科技有限公司、内蒙古万户信息科技有限公司、北京快思创杰科技有限公司安徽分公司、成都康菲顿特网络科技有限公司、快思聪电子公司、湖北淘码千维信息科技有限公司、润申信息科技(上海)有限公司、合肥明信软件技术有限公司、北京为因软件、临清市阿易网络科技、国家军民融合公共服务平台运行管理办公室、睿谷信息管理系统、Guojiz国际网址导航系统、逍遥B2C商城系统、乐尚商城开源系统、逍遥B2C商城、贴心猫、网新科技、若依、苹果cms、KiteCMS、CLTPHP、ZZCMS、Verydows和Bludit.
本周漏洞报送情况统计本周报送情况如表1所示.
其中,北京神州绿盟科技有限公司、北京天融信网络安全技术有限公司、深信服科技股份有限公司、华为技术有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多.
国瑞数码零点实验室、北京云科安信科技有限公司、山东华鲁科技发展股份有限公司、杭州迪普科技股份有限公司、远江盛邦(北京)网络安全科技股份有限公司、河南灵创电子科技有限公司、山东道普测评技术有限公司、内蒙古奥创科技有限公司、山东云天安全技术有限公司、吉林谛听信息技术有限公司、北京禹宏信安科技有限公司、安徽长泰信息安全服务有限公司、河南信安世纪科技有限公司、北京天地和兴科技有限公司、长春嘉诚信息技术股份有限公司、杭州安信检测技术有限公司、京东云安全、北京华云安信息技术有限公司、北京顶象技术有限公司、河北千诚电子科技有限公司、广州三零卫士信息安全有限公司、四川哨兵信息科技有限公司、郑州云智信安安全技术有限公司、上海观安信息技术股份有限公司、北京智游网安科技有限公司及其他个人白帽子向CNVD提交了4221个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)、斗象科技(漏洞盒子)和上海交大向CNVD共享的白帽子报送的3271条原创漏洞信息.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量奇安信网神(补天平台)15741574斗象科技(漏洞盒子)11621162上海交大535535北京神州绿盟科技有限公司3770北京天融信网络安全技术有限公司9815深信服科技股份有限公司960华为技术有限公司710新华三技术有限公司580北京奇虎科技有限公司3232哈尔滨安天科技集团股份有限公司220北京启明星辰信息安全技术有限公司181北京知道创宇信息技术股份有限公司80国瑞数码零点实验室140140北京云科安信科技有限公司110110山东华鲁科技发展股份有限公司5656杭州迪普科技股份有限公司550远江盛邦(北京)网络安全科技股份有限公司5050河南灵创电子科技有限公司2727山东道普测评技术有限公司2323内蒙古奥创科技有限公司2020山东云天安全技术有限公司1515吉林谛听信息技术有限公司1313北京禹宏信安科技有限公司1010安徽长泰信息安全服务有限公司99河南信安世纪科技有限公司77北京天地和兴科技有限公司66长春嘉诚信息技术股份有限公司55杭州安信检测技术有限公司44京东云安全44北京华云安信息技术有限公司33北京顶象技术有限公司33河北千诚电子科技有限公司33广州三零卫士信息安全有限公司11四川哨兵信息科技有限公司11郑州云智信安安全技术有限公司11上海观安信息技术股份有限公司11北京智游网安科技有限公司11CNCERT青海分中心11CNCERT山东分中心11CNCERT山西分中心11CNCERT西藏分中心33CNCERT四川分中心11个人382382报送总计50084221本周漏洞按类型和厂商统计本周,CNVD收录了395个漏洞.
应用程序247个,WEB应用95个,操作系统26个,网络设备(交换机、路由器等网络端设备)16个,数据库10个,安全产品1个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量应用程序247WEB应用95操作系统26网络设备(交换机、路由器等网络端设备)16数据库10安全产品1应用程序62%WEB应用24%操作系统6%数据库2%网络设备(交换机、路由器等网络端设备)4%安全产品1%智能设备(物联网终端设备)漏洞1%本周CNVD漏洞数量按影响类型分布图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Oracle、CentOSWebPanel、Google等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例1Oracle308%2CentOSWebPanel226%3Google226%4IBM215%5Cisco184%6Adobe123%7Mozilla92%8Apache82%9Grandstream82%10其他24562%本周行业漏洞收录情况本周,CNVD收录了21个电信行业漏洞,30个移动互联网行业漏洞,3个工控行业漏洞(如下图所示).
其中,"CiscoDataCenterNetworkManager命令注入漏洞、TeltonikaTRB245不当输入验证漏洞"等漏洞的综合评级为"高危".
相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/048121620高危中危低危有补丁145216电信行业漏洞评级按周统计高危中危低危有补丁图3电信行业漏洞统计图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Adobe产品安全漏洞AdobeMagento是美国Adobe公司的一套开源的PHP电子商务系统.
AdobeDownloadManager是一款用于管理和下载Adobe产品的应用程序.
AdobeMediaEncoder是一款音、视频编码应用程序.
AdobeCreativeCloudDesktopApplication是一套用于在Creative云会员管理中心管理应用程序和服务的应用程序.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞写入任意文件系统,提升权限,执行任意代码等.
CNVD收录的相关漏洞包括:AdobeMagentoCommerce和MagentoOpenSource跨站脚本漏洞、AdobeMagentoCommerce和MagentoOpenSource路径遍历漏洞、Ad0510152025高危中危低危有补丁621323移动互联网行业漏洞评级按周统计高危中危低危有补丁012345高危中危低危有补丁0303工控系统行业漏洞评级按周统计高危中危低危有补丁obeDownloadManager注入漏洞、AdobeMediaEncoder越界写入漏洞(CNVD-2020-44850、CNVD-2020-44851)、AdobeCreativeCloudDesktopApplication后置链接漏洞(CNVD-C-2020-154995、CNVD-2020-44854)、AdobeCreativeCloudDesktopApplication不安全文件权限漏洞.
其中,除"AdobeMediaEncoder越界写入漏洞(CNVD-2020-44850、CNVD-2020-44851)"外,其余漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44615https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44622https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44847https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44850https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44851https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44854https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44853https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-448552、IBM产品安全漏洞IBMVerifyGateway(IVG)是美国IBM公司的一套基于云的身份验证解决方案.
IBMWebSphereApplicationServer(WAS)是一款应用服务器产品.
IBMCognosAnalytics是一套商业智能软件.
IBMUrbanCodeDeploy(UCD)是一套应用自动化部署工具.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,执行任意代码,导致拒绝服务等.
CNVD收录的相关漏洞包括:IBMVerifyGateway(IVG)帐户锁定设置不当漏洞、IBMVerifyGateway(IVG)拒绝服务漏洞、IBMVerifyGateway(IVG)敏感信息明文传输泄露漏洞、IBMVerifyGateway(IVG)硬编码凭据漏洞、IBMWebSphereApplicationServer跨站脚本漏洞(CNVD-2020-44626)、IBMCognosAnalytics权限提升漏洞、IBMUrbanCodeDeploy代码问题漏洞、IBMCognosAnalyticsXML外部实体注入漏洞.
其中,"IBMVerifyGateway(IVG)硬编码凭据漏洞、IBMWebSphereApplicationServer跨站脚本漏洞(CNVD-2020-44626)、IBMUrbanCodeDeploy代码问题漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44079https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44078https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44077https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44076https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44626https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44892https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-45104https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-451093、Google产品安全漏洞Android是美国Google公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统.
本周,上述产品被披露存在权限提升漏洞,攻击者可利用漏洞提升权限,执行任意代码.
CNVD收录的相关漏洞包括:GoogleAndroidMediaTek组件权限提升漏洞(CNVD-2020-44361、CNVD-2020-44360、CNVD-2020-44359)、GoogleAndroidSystem权限提升漏洞(CNVD-2020-44366、CNVD-2020-44367)、GoogleAndroidMediaFramework权限提升漏洞(CNVD-2020-44368)、GoogleAndroidFramework权限提升漏洞(CNVD-2020-44375、CNVD-2020-44376).
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44361https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44360https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44359https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44366https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44368https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44367https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44375https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-443764、Cisco产品安全漏洞CiscoDataCenterNetworkManager(DCNM)是美国思科(Cisco)公司的一套数据中心管理系统.
CiscoSD-WANvManageSoftware是一款用于SD-WAN(软件定义广域网络)解决方案的管理软件.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码等.
CNVD收录的相关漏洞包括:CiscoDataCenterNetworkManager信任管理问题漏洞、CiscoSD-WANvManageSoftware授权问题漏洞(CNVD-2020-44061)、CiscoDataCenterNetworkManager授权问题漏洞、CiscoDataCenterNetworkManager输入验证错误漏洞、CiscoDataCenterNetworkManager命令注入漏洞、CiscoDataCenterNetworkManager操作系统命令注入漏洞、CiscoDataCenterNetworkManagerSQL注入漏洞、CiscoDataCenterNetworkManager访问控制错误漏洞(CNVD-2020-44067).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44062https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44061https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44066https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44065https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44064https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44063https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44069https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-440675、RedHatCloudForms操作系统命令注入漏洞RedHatCloudForms是美国红帽(RedHat)公司的一套混合基础架构管理平台.
本周,RedHatCloudForms被披露存在操作系统命令注入漏洞.
该漏洞源于外部输入数据构造操作系统可执行命令过程中,网络系统或产品未正确过滤其中的特殊字符、命令等.
攻击者可利用该漏洞执行非法操作系统命令.
目前,厂商尚未发布上述漏洞的修补程序.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44411更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htm表4部分重要高危漏洞列表CNVD编号漏洞名称综合评级修复方式CNVD-2020-42654CitrixSystemsWorkspaceApp访问控制错误漏洞(CNVD-2020-42654)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://support.
citrix.
com/article/CTX277662CNVD-2020-43757Kubevirt权限提升漏洞高目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://kubevirt.
io/CNVD-2020-43766MozillaFirefox资源管理错误漏洞(CNVD-2020-43766)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
mozilla.
org/en-US/security/advisories/mfsa2020-24/CNVD-2020-44094ApacheAirflow远程代码执行漏洞(CNVD-2020-44094)高厂商已发布了漏洞修复程序,请及时关注更新:https://lists.
apache.
org/thread.
html/r7255cf0be3566f23a768e2a04b40fb09e52fcd1872695428ba9afe91%40%3Cusers.
airflow.
apache.
org%3ECNVD-2020-44297FUDForum跨站脚本漏洞(CNVD-2020-44297)高厂商已发布了漏洞修复程序,请及时关注更新:https://sourceforge.
net/p/fudforum/code/6321/CNVD-2020-44346GrandstreamHT800series操作系统命令注入漏洞高厂商已发布了漏洞修复程序,请及时关注更新:http://www.
grandstream.
com/CNVD-2020-44412RedHatCloudForms授权问题漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://bugzilla.
redhat.
com/show_bug.
cgiid=1855739CNVD-2020-44610Pi-Hole权限提升漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://pi-hole.
net/CNVD-2020-44614Lua堆缓冲区溢出漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.
com/lua/lua/commit/127e7a6c8942b362aa3c6627f44d660a4fb75312CNVD-2020-44867libMirage缓冲区溢出漏洞高厂商已发布了漏洞修复程序,请及时关注更新:https://sourceforge.
net/p/cdemu/code/ci/0e9292c9aa34bf545f43f7efe5f0b94faba94962/CNVD-2020-44906TobesoftMiPlatform操作系统命令注入漏洞高厂商已发布了漏洞修复程序,请及时关注更新:http://www.
nexacro.
com/小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞写入任意文件系统,提升权限,执行任意代码等.
此外,IBM、Google、Cisco等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取信息,提升权限,执行任意代码,导致拒绝服务等.
另外,RedHatCloudForms被披露存在操作系统命令注入漏洞.
攻击者可利用该漏洞执行非法操作系统命令.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞攻击验证情况本周,CNVD建议注意防范以下已公开漏洞攻击验证情况.
1、wolfSSL缓冲区过读漏洞验证描述wolfSSL是一个旨在供嵌入式系统开发人员使用的小型、可移植、嵌入式SSL/TLS库.
wolfSSL4.
1.
0中的wolfcrypt/src/asn.
c中的DecodeCertExtensions存在缓冲区过读漏洞,该漏洞源于GetLength_ex的ASN_BOOLEAN字节读取处理错误,攻击者可通过特制DER证书利用该漏洞导致缓冲区溢出.
验证信息POC链接:https://github.
com/wolfSSL/wolfssl/issues/2421参考链接:https://www.
cnvd.
org.
cn/flaw/show/CNVD-2020-44866信息提供者华为技术有限公司注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用.
请广大用户加强对漏洞的防范工作,尽快下载相关补丁.
本周漏洞要闻速递1.
Kr00k攻击变种影响高通和联发科Wi-Fi芯片ESET研究人员发现高通和联发科的Wi-Fi芯片受到Kr00k信息泄露漏洞的新变体的影响.
新漏洞编号为CVE-2020-3702,通过解除关联触发,并传输未加密的数据代替加密的数据帧,导致数据泄露,这与Kr00k极为相似.
参考链接:https://www.
bleepingcomputer.
com/news/security/kr-k-attack-variants-impact-qualcomm-mediatek-wi-fi-chips/2.
TeamViewer曝漏洞,计算机浏览特定网页即可被无密码入侵TeamViewer官方发布消息说最近修复了一个漏洞,该漏洞可能使攻击者悄悄地建立与您计算机的连接并进一步利用该系统.
漏洞编号为CVE-2020-13699,该漏洞影响TeamViewer版本为8,9,10,11,12,13,14,15.
参考链接:https://www.
cnbeta.
com/articles/tech/1013319.
htm关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537