漏洞phpwind

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞230个,其中高危漏洞96个、中危漏洞115个、低危漏洞19个.
漏洞平均分值为6.
13.
本周收录的漏洞中,涉及0day漏洞122个(占53%),其中互联网上出现"ApacheAxis代码执行漏洞、QCMS跨站请求伪造漏洞"等零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1994与上周(1755个)环比增长14%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞事件处置情况本周,CNVD向基础电信企业通报漏洞事件26起,向银行、保险、能源等重要行业单位通报漏洞事件38起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞5.
805.
755.
605.
986.
385.
315.
805.
605.
996.
056.
134.
805.
005.
205.
405.
605.
806.
006.
206.
406.
60CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2019年04月15日-2019年04月21日2019年第16期事件563起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件51起.
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:广州齐博网络科技有限公司、安徽华易网络科技有限公司、北京火绒网络科技有限公司、中国建材检验认证集团股份有限公司、黑龙江艺通网络技术开发有限公司、宁波海曙橄榄树计算机科技有限公司、洪湖尔创网联信息技术有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、苏州烟火网络科技有限公司、北京动网天下科技有限公司、上海汉得信息技术股份有限公司、中国大唐集团科学技术研究院有限公司、深圳神州通达网络技术有限公司、山东城通科技有限公司、重庆远秋科技公司、江苏鑫跃科技有限公司、沧州市凡诺广告传媒有限公司、灵宝简好网络科技有限公司、深圳同天下科技有限公司、淄博闪灵网络科技有限公司、上海茸易科技有限公司、深圳市锟铻科技有限公司、华宝证券有限责任公司、湖南潭州教育网络科技有限公司、宁波在线网络信息有限公司、上海五五来客科技股份有限公司、天气网、中国船舶报社、中国经济体制改革研究会、中国通信标准化协会、快范之家、厦门大学附属第一医院、中国建筑工业出版社、浙江深大智能集团、中国测试科技资讯平台、易企CMS、DM建站系统、爱客CMS、鱼跃CMS、Z-Blog、zzzcms、GraphicsMagickGroup、phpwind、KUNBUS、SchoolCMS、iCMS、HadSky.
本周,CNVD发布了《Oracle发布2019年2月的安全公告》、《关于OracleWebLogicwls9-async组件存在反序列化远程命令执行漏洞的安全公告》.
详情参见CNVD网站公告内容.
http://www.
cnvd.
org.
cn/webinfo/show/4987http://www.
cnvd.
org.
cn/webinfo/show/4989本周漏洞报送情况统计本周报送情况如表1所示.
其中,新华三技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、深信服科技股份有限公司等单位报送公开收集的漏洞数量较多.
长春嘉诚信息技术股份有限公司、国瑞数码安全系统股份有限公司(国瑞数码零点实验室)、中新网络信息安全股份有限公司、安徽锋刃信息科技有限公司、任子行网络技术股份有限公司、上海并擎软件科技有限公司、北京圣博润高新技术股份有限公司、山东云天安全技术有限公司、南京联成科技发展股份有限公司、山石网科通信技术股份有限公司、广州竞远安全技术股份有限公司、福建国科信息科技有限公司-漏斗社区、内蒙古奥创科技有限公司、北京信联科汇科技有限公司、成都安美勤信息技术股份有限公司、广州万方计算机科技有限公司、广州昊达信息科技有限公司、广州思迈特软件有限公司、四川虹微技术有限公司(子午攻防实验室)及其他个人白帽子向CNVD提交了1994个以事件型漏洞为主的原创漏洞,其中包括360网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1354条原创漏洞信息.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量斗象科技(漏洞盒子)933933360网神(补天平台)421421新华三技术有限公司2520哈尔滨安天科技集团股份有限公司2420北京天融信网络安全技术有限公司2104华为技术有限公司1390深信服科技股份有限公司850北京启明星辰信息安全技术有限公司790恒安嘉新(北京)科技股份公司430北京神州绿盟科技有限公司320中国电信集团系统集成有限责任公司280北京数字观星科技有限公司200南京铱迅信息技术股份有限公司80北京知道创宇信息技术有限公司60厦门服云信息科技有限公司50长春嘉诚信息技术股份有限公司176176国瑞数码安全系统股份有限公司(国瑞数码零点实验室)6666中新网络信息安全股份有5151限公司安徽锋刃信息科技有限公司3939任子行网络技术股份有限公司3434上海并擎软件科技有限公司2828北京圣博润高新技术股份有限公司2222山东云天安全技术有限公司2121南京联成科技发展股份有限公司1515山石网科通信技术股份有限公司55广州竞远安全技术股份有限公司44福建国科信息科技有限公司-漏斗社区33内蒙古奥创科技有限公司22北京信联科汇科技有限公司11成都安美勤信息技术股份有限公司11广州万方计算机科技有限公司11广州昊达信息科技有限公司11广州思迈特软件有限公司11四川虹微技术有限公司(子午攻防实验室)11CNCERT河北分中心66CNCERT广西分中心33CNCERT贵州分中心33CNCERT江苏分中心33CNCERT吉林分中心11个人148148报送总计31391994本周漏洞按类型和厂商统计本周,CNVD收录了230个漏洞.
WEB应用96个,应用程序88个,操作系统27个,数据库10个,网络设备(交换机、路由器等网络端设备)7个,智能设备(物联网终端设备)漏洞1个,安全产品1个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量WEB应用96应用程序88操作系统27数据库10网络设备(交换机、路由器等网络端设备)7智能设备(物联网终端设备)漏洞1安全产品1图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Adobe、Microsoft、Joomla!
等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例WEB应用41%安全产品1%应用程序38%操作系统12%数据库4%智能设备(物联网终端设备)漏洞1%网络设备(交换机、路由器等网络端设备)3%本周CNVD漏洞数量按影响类型分布1Adobe188%2Microsoft188%3Joomla!
188%4Cisco115%5Google104%6Oracle104%7CloudBees94%8UltraVNC83%9OpenEMR73%10其他12153%本周行业漏洞收录情况本周,CNVD收录了14个电信行业漏洞,19个移动互联网行业漏洞,7个工控行业漏洞,(如下图所示).
其中,"CiscoIOSXE任意文件上传漏洞、SiemensSINEMA未经授权访问漏洞、GoogleAndroidSystem远程代码执行漏洞(CNVD-2019-10473)、CiscoIOSXEETA拒绝服务漏洞"等漏洞的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/工控系统行业漏洞链接:http://ics.
cnvd.
org.
cn/图3电信行业漏洞统计03691215高危中危低危有补丁59013电信行业漏洞评级按周统计高危中危低危有补丁图4移动互联网行业漏洞统计图5工控系统行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Adobe产品安全漏洞AdobeBridge是一款免费数字资产管理应用程序.
AdobeShockwavePlayer是一款多媒体播放器产品.
本周,上述产品被披露存在内存错误引用和内存破坏漏洞,攻击者可利用漏洞获取信息,执行任意代码.
CNVD收录的相关漏洞包括:AdobeBridgeCC内存错误引用漏洞、AdobeShockwavePlayer内存破坏漏洞(CNVD-2019-10620、CNVD-2019-10621、CNVD-2019-10623、CNVD-2019-10622、CNVD-2019-10625、CNVD-2019-10624、CNVD-2019-10626).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-09858048121620高危中危低危有补丁316012移动互联网行业漏洞评级按周统计高危中危低危有补丁0246810高危中危低危有补丁4211工控系统行业漏洞评级按周统计高危中危低危有补丁http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10620http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10621http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10623http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10622http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10625http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10624http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-106262、Microsoft产品安全漏洞Windows是美国微软公司研发的一套操作系统,Windows采用了图形化模式GUI.
MicrosoftInternetExplorer(IE)是一款Windows操作系统附带的Web浏览器.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏.
CNVD收录的相关漏洞包括:MicrosoftWindowsWin32k权限提升漏洞(CNVD-2019-10041、CNVD-2019-10043、CNVD-2019-10042)、MicrosoftInternetExplorerVBScript引擎远程代码执行漏洞、MicrosoftInternetExplorer脚本引擎内存破坏漏洞(CNVD-2019-10617、CNVD-2019-10616)、MicrosoftInternetExplorerVBScript引擎远程代码执行漏洞(CNVD-2019-10619、CNVD-2019-10618).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10041http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10043http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10042http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10615http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10617http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10616http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10619http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-106183、Cisco产品安全漏洞CiscoIOSXE是一个基于Linux内核的模块化操作系统.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,提升权限,以root用户身份执行任意命令或造成拒绝服务.
CNVD收录的相关漏洞包括:CiscoIOSXE命令注入漏洞(CNVD-2019-10454、CNVD-2019-10460、CNVD-2019-10462)、CiscoIOSXE权限提升漏洞(CNVD-2019-10455、CNVD-2019-10463)、CiscoIOSXEETA拒绝服务漏洞、CiscoIOSXE任意文件上传漏洞、CiscoIOSXE信息泄露漏洞.
其中,除"CiscoIOSXE信息泄露漏洞、CiscoIOSXE命令注入漏洞(CNVD-2019-10462)"外,其余漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10454http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10455http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10458http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10459http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10460http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10461http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10462http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-104634、Oracle产品安全漏洞OracleMySQL是美国甲骨文(Oracle)公司的一套开源的关系数据库管理系统.
MySQLServer是其中的一个数据库服务器组件.
本周,该产品被披露存在拒绝服务漏洞,攻击者可利用漏洞造成拒绝服务(挂起或频繁崩溃),影响数据的可用性.
CNVD收录的相关漏洞包括:OracleMySQLServer拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10368、CNVD-2019-10372、CNVD-2019-10374、CNVD-2019-10373、CNVD-2019-10376、CNVD-2019-10375).
其中,除"OracleMySQLServer拒绝服务漏洞(CNVD-2019-10367、CNVD-2019-10369、CNVD-2019-10372)"外,其余漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10367http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10369http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10368http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10372http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10374http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10373http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10376http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-103755、D-LinkDI-524跨站脚本漏洞D-LinkDI-524是一款无线路由器.
D-LinkDI-524被披露存在跨站脚本漏洞.
攻击者可利用该漏洞执行客户端代码.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10325更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htm表4部分重要高危漏洞列表CNVD编号漏洞名称综合评级修复方式CNVD-2019-09849AdobeAcrobat和Reader越界写入漏洞(CNVD-2019-09849)高厂商已发布漏洞修复程序,请及时关注更新:https://helpx.
adobe.
com/security/products/acrobat/apsb18-41.
htmlCNVD-2019-10017NagiosXISQL注入漏洞(CNVD-2019-10017)高厂商已发布漏洞修复程序,请及时关注更新:https://www.
nagios.
com/products/security/CNVD-2019-10132libcurl缓冲区溢出漏洞高厂商已发布漏洞修复程序,请及时关注更新:https://github.
com/curl/curl/commit/57d299a499155d4b327e341c6024e293b0418243.
patchCNVD-2019-10145OpenEMRSQL注入漏洞(CNVD-2019-10145)高厂商已发布了漏洞修复程序,请及时关注更新:https://github.
com/openemr/openemr/pull/1758/filesCNVD-2019-10286UltraVNC越界访问漏洞(CNVD-2019-10286)高厂商已发布漏洞修复程序,请及时关注更新:https://www.
uvnc.
com/CNVD-2019-10293UltraVNC堆缓冲区溢出漏洞高厂商已发布漏洞修复程序,请及时关注更新:https://www.
uvnc.
com/CNVD-2019-10448IBMBigFixPlatform未授权操作漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:http://www-01.
ibm.
com/support/docview.
wssuid=ibm10874666CNVD-2019-10457ForcepointEmailSecurity缓冲区溢出漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://support.
forcepoint.
com/KBArticleid=000016621CNVD-2019-10464GoogleAndroid缓冲区溢出漏洞(CNVD-2019-10464)高厂商已发布了漏洞修复程序,请及时关注更新:https://source.
android.
com/security/bulletin/2019-02-01CNVD-2019-10628AdobeAcrobat和Reader内存错误引用漏洞(CNVD-2019-10628)高厂商已发布漏洞修复程序,请及时关注更新:https://helpx.
adobe.
com/security/products/acrobat/apsb19-17.
html小结:本周,Adobe被披露存在内存错误引用和内存破坏漏洞,攻击者可利用漏洞获取信息,执行任意代码.
此外,Microsoft、Cisco、Oracle等多款产品被披露存在多个漏洞,攻击者可利用漏洞提升权限,执行任意代码,造成内存破坏等.
另外,D-LinkDI-524被披露存在跨站脚本漏洞.
攻击者可利用该漏洞执行客户端代码.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞攻击验证情况本周,CNVD建议注意防范以下已公开漏洞攻击验证情况.
1、ApacheAxis代码执行漏洞验证描述ApacheAxis是一个开源、基于XML的Web服务架构.
ApacheAxis1.
4版本中存在安全漏洞.
远程攻击者可利用该漏洞执行代码.
验证信息POC链接:https://www.
exploit-db.
com/exploits/46682参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-10449信息提供者深信服科技股份有限公司注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用.
请广大用户加强对漏洞的防范工作,尽快下载相关补丁.
本周漏洞要闻速递1.
WPA3标准被曝"超大"WiFi安全漏洞两名安全研究人员披露了Wi-FiWPA3标准中的一组漏洞,这组漏洞被命名为Dragonblood.
攻击者可利用这些漏洞在受害者网络范围内获取Wi-Fi密码和渗透进网络.
Dragonblood由五个漏洞构成,包括一个拒绝访问攻击,两个降级攻击和两个侧通道信息泄露.
后四个漏洞都利用了WPA3标准Dragonfly密钥交换机制中的设计缺陷,可用于获取用户密码.
研究人员发现的攻击方法可玩弄WPA3用于验证网络上设备的Dragonfly握手系统.
利用得当的话,攻击者无需知晓密码即可登入目标网络.
具体来说,攻击者可读取WPA3本应安全加密的信息,进而盗取信用卡、密码、聊天内容、电子邮件等等敏感信息——如果没有额外采取HTTPS之类保护措施的话.
参考链接:https://www.
secrss.
com/articles/99142.
美国天气频道遭勒索软件攻击,停止直播1个多小时根据《华尔街日报》的报道,TheWeatherChannel本周四遭遇勒索软件攻击,并暂时停止了一个直播节目的播出.
此次攻击发生在美国东南部遭遇恶劣天气袭击之际,导致这家有线电视频道瘫痪了一个多小时.
联邦调查局(FBI)表示,这是一次勒索软件攻击,该部门正在展开调查.
TheWeatherChannel在Twitter上表示:"在网络遭到恶意软件攻击之后,我们今天上午的直播出现了问题.
"该频道同时表示,已经通过"备份机制"恢复了服务.
"我们为给观众带来的不便表示道歉,我们正在努力解决这个问题.
"参考链接:https://tech.
sina.
com.
cn/i/2019-04-20/doc-ihvhiewr7233865.
shtml关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537