漏洞empirecms

本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中.
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞171个,其中高危漏洞54个、中危漏洞103个、低危漏洞14个.
漏洞平均分值为5.
77.
本周收录的漏洞中,涉及0day漏洞36个(占21%),其中互联网上出现"WordPress插件Ad-Manager开放重定向漏洞、EmpireCMS跨站脚本漏洞"等零日代码攻击漏洞.
本周CNVD接到的涉及党政机关和企事业单位的事件型漏洞总数1752个,与上周(1605个)环比增长9%.
图1CNVD收录漏洞近10周平均分值分布图本周漏洞事件处置情况本周,CNVD向基础电信企业通报漏洞事件6起,向银行、保险、能源等重要行业单位通报漏洞事件11起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件263起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件7起,向国家5.
805.
605.
996.
056.
135.
855.
635.
775.
805.
815.
774.
805.
005.
205.
405.
605.
806.
006.
206.
406.
60CNVD收录漏洞近10周平均分值分布图国家信息安全漏洞共享平台(CNVD)信息安全漏洞周报2019年06月03日-2019年06月09日2019年第23期上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件7起.
此外,CNVD通过已建立的联系机制或涉事单位公开联系渠道向以下单位通报了其信息系统或软硬件产品存在的漏洞,具体处置单位情况如下所示:上海安达通信息安全技术股份有限公司、北京希遇信息科技有限公司、成都鹏博士电信传媒集团股份有限公司、西安至成信息科技有限公司、沧州市凡诺广告传媒有限公司、合肥拓野网络科技有限公司、上海亿速网络科技有限公司、深圳市前海中昊科技有限公司、中航善达股份有限公司、洛阳市恒凯信息科技有限公司、中铁二局贵阳驾驶培训有限公司、苏州托普斯网络科技有限公司、淄博闪灵网络科技有限公司、嘉兴想天信息科技有限公司、厦门易商网络科技有限公司、永康市中基互联科技有限公司、成都远成伟业信息技术有限公司、苏州天宫信息技术有限公司、浙江齐治科技股份有限公司、北京金航联科技发展有限公司、宿迁鑫潮信息技术有限公司、云南若水网络科技有限公司、北京二六三企业通信有限公司、中国电力企业联合会、中铁物流网、中国电子科技集团有限公司第二十二研究所、中国建筑钢结构网、爱客CMS、施耐德(SchneiderElectric)、苹果CMS、苏州苏博科水环境保护科学研究院、中国知网.
本周漏洞报送情况统计本周报送情况如表1所示.
其中,华为技术有限公司、哈尔滨安天科技集团股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、北京启明星辰信息安全技术有限公司等单位报送公开收集的漏洞数量较多.
山东云天安全技术有限公司、任子行网络技术股份有限公司、南京众智维信息科技有限公司、内蒙古奥创科技有限公司、北京铭图天成信息技术有限公司、国瑞数码零点实验室、山东华鲁科技发展股份有限公司、上海并擎软件科技有限公司、河南信安世纪科技有限公司、北京圣博润高新技术股份有限公司、广州昊达信息科技有限公司、山石网科通信技术有限公司、北京君信安科技有限公司、江苏安又恒信息科技有限公司、上海物盾信息科技有限公司、浙江鹏信信息科技股份有限公司及其他个人白帽子向CNVD提交了2163个以事件型漏洞为主的原创漏洞,其中包括奇安信网神(补天平台)和斗象科技(漏洞盒子)向CNVD共享的白帽子报送的1752条原创漏洞信息.
表1漏洞报送情况统计表报送单位或个人漏洞报送数量原创漏洞数量斗象科技(漏洞盒子)14991499奇安信网神(补天平台)253253华为技术有限公司1990哈尔滨安天科技集团股份有限公司850北京天融信网络安全技术有限公司732新华三技术有限公司693北京启明星辰信息安全技术有限公司484深信服科技股份有限公司450北京神州绿盟科技有限公司320中国电信集团系统集成有限责任公司310西安四叶草信息技术有限公司1414中新网络信息安全股份有限公司1414恒安嘉新(北京)科技股份公司131北京数字观星科技有限公司110南京联成科技发展股份有限公司88北京知道创宇信息技术股份有限公司30杭州安恒信息技术股份有限公司22山东云天安全技术有限公司3838任子行网络技术股份有限公司3636南京众智维信息科技有限公司3535内蒙古奥创科技有限公司2828北京铭图天成信息技术有限公司2222国瑞数码零点实验室1313山东华鲁科技发展股份有限公司88上海并擎软件科技有限公司88河南信安世纪科技有限公司33北京圣博润高新技术股份有限公司22广州昊达信息科技有限公司22山石网科通信技术有限公司11北京君信安科技有限公司11江苏安又恒信息科技有限公司11上海物盾信息科技有限公司11浙江鹏信信息科技股份有限公司11CNCERT甘肃分中心66CNCERT海南分中心22CNCERT贵州分中心11个人154154报送总计27622163本周漏洞按类型和厂商统计本周,CNVD收录了171个漏洞.
应用程序98个,操作系统27个,WEB应用26个,网络设备(交换机、路由器等网络端设备)9个,数据库8个,安全产品2个,智能设备(物联网终端设备)漏洞1个.
表2漏洞按影响类型统计表漏洞影响对象类型漏洞数量应用程序98操作系统27WEB应用26网络设备(交换机、路由器等网络端设备)9数据库8安全产品2智能设备(物联网终端设备)漏洞1图2本周漏洞按影响类型分布CNVD整理和发布的漏洞涉及Microsoft、Adobe、Oracle等多家厂商的产品,部分漏洞数量按厂商统计如表3所示.
表3漏洞产品涉及厂商分布统计表序号厂商(产品)漏洞数量所占比例1Microsoft2213%2Adobe138%3Oracle116%4PHPScriptsMall95%5Linux85%6Computrols74%7WordPress53%8NTPsec42%9Apple32%10其他8952%本周行业漏洞收录情况本周,CNVD收录了12个电信行业漏洞,5个移动互联网行业漏洞(如下图所示).
其中,"PostgreSQL代码执行漏洞(CNVD-2019-16483)、OracleDatabaseServerCoreRDBMS访问控制错误漏洞、多款Apple产品WebKit组件缓冲区溢出漏洞、OracleDatWEB应用15%安全产品1%应用程序57%操作系统16%数据库5%智能设备(物联网终端设备)漏洞1%网络设备(交换机、路由器等网络端设备)5%本周CNVD漏洞数量按影响类型分布abaseServerJavaVM访问控制错误漏洞"等漏洞的综合评级为"高危".
相关厂商已经发布了上述漏洞的修补程序,请参照CNVD相关行业漏洞库链接.
电信行业漏洞链接:http://telecom.
cnvd.
org.
cn/移动互联网行业漏洞链接:http://mi.
cnvd.
org.
cn/图3电信行业漏洞统计图4移动互联网行业漏洞统计本周重要漏洞安全告警本周,CNVD整理和发布以下重要安全漏洞信息.
1、Adobe产品安全漏洞AdobeReader(也被称为AcrobatReader)是一款PDF文件阅读软件.
AdobeAcrobat是一款PDF编辑软件.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码.
CNVD收录的相关漏洞包括:AdobeAcrobat和Reader信息泄露漏洞(CNVD-2019-16540)、AdobeAcrobat和Reader堆溢出漏洞(CNVD-2019-16536、CNVD-2019-16503691215高危中危低危有补丁56110电信行业漏洞评级按周统计高危中危低危有补丁012345高危中危低危有补丁2304移动互联网行业漏洞评级按周统计高危中危低危有补丁35)、AdobeAcrobat和Reader类型混淆漏洞(CNVD-2019-16538、CNVD-2019-16537、CNVD-2019-16539)、AdobeAcrobat和Reader越界读取漏洞(CNVD-2019-16541、CNVD-2019-16542).
其中,除"AdobeAcrobat和Reader越界读取漏洞(CNVD-2019-16541、CNVD-2019-16542)"外,其余漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16540http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16536http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16535http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16538http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16537http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16539http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-16541http://www.
cnvd.
org.
cn/flaw/show/CNV-2019-165422、Oracle产品安全漏洞OracleE-BusinessSuite(电子商务套件)是一套全面集成式的全球业务管理软件.
OracleDatabaseServer是一套关系数据库管理系统.
OracleMySQL是一套开源的关系数据库管理系统.
OracleRetailApplications是一套零售应用商店解决方案.
本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞影响数据的保密性、完整性和可用性.
CNVD收录的相关漏洞包括:OracleE-BusinessSuiteOne-to-OneFulfillment访问控制错误漏洞、OracleDatabaseServerCoreRDBMS访问控制错误漏洞、OracleDatabaseServerJavaVM访问控制错误漏洞、OracleMySQLServer访问控制错误漏洞(CNVD-2019-16278、CNVD-2019-16397)、OracleRetailApplicationsRetailConvenienceStoreBackOffice访问控制错误漏洞、OracleRetailApplicationsMICROSRelateCRMSoftware访问控制错误漏洞、OracleRetailApplicationsMICROSLucas访问控制错误漏洞.
其中,"OracleE-BusinessSuiteOne-to-OneFulfillment访问控制错误漏洞、OracleDatabaseServerCoreRDBMS访问控制错误漏洞、OracleDatabaseServerJavaVM访问控制错误漏洞、OracleRetailApplicationsRetailConvenienceStoreBackOffice访问控制错误漏洞"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16274http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16276http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16275http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16278http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16397http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16395http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16398http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-163993、Microsoft产品安全漏洞MicrosoftWindows是一套个人设备使用的操作系统.
MicrosoftWindowsServer是一套服务器操作系统.
WindowsGraphicsDeviceInterface(GDI)是其中的一个图形设备接口.
MicrosoftChakraCore是使用在Edge浏览器中的一个开源的ChakraJavaScript脚本引擎的核心部分,也可作为单独的JavaScript引擎使用.
MicrosoftEdge是一款Windows10之后版本系统附带的Web浏览器.
本周,上述产品被披露存在缓冲区溢出和远程代码执行漏洞,攻击者可利用漏洞执行任意代码,造成内存破坏.
CNVD收录的相关漏洞包括:MicrosoftEdge和ChakraCore缓冲区溢出漏洞(CNVD-2019-16511)、MicrosoftWindowsGDI远程代码执行漏洞(CNVD-2019-16510)、MicrosoftChakraCore和MicrosoftEdge远程代码执行漏洞(CNVD-2019-16745、CNVD-2019-16746、CNVD-2019-16748)、MicrosoftEdge远程代码执行漏洞(CNVD-2019-16747)、MicrosoftEdge和ChakraCore远程代码执行漏洞(CNVD-2019-16749)、多款Microsoft产品远程代码执行漏洞(CNVD-2019-16750).
上述漏洞的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16511http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16510http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16745http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16746http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16747http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16749http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16748http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-167504、Linux产品安全漏洞Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核.
本周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取网站管理员访问权限,发起拒绝服务攻击等.
CNVD收录的相关漏洞包括:Linuxkernel输入验证错误漏洞、Linuxkernel内存泄露漏洞、Linuxkernel内存分配失败处理不当漏洞、Linuxkernel拒绝服务漏洞(CNVD-2019-16431、CNVD-2019-16432、CNVD-2019-16590、CNVD-2019-16599、CNVD-2019-16428).
其中,"Linuxkernel输入验证错误漏洞、Linuxkernel拒绝服务漏洞(CNVD-2019-16590、CNVD-2019-16599)"的综合评级为"高危".
目前,厂商已经发布了上述漏洞的修补程序.
CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16402http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16429http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16430http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16431http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16432http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16590http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16599http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-164285、SamsungSCX-824跨站脚本漏洞SamsungSCX-824是一款多功能打印机.
SamsungSCX-824被披露存在跨站脚本漏洞.
该漏洞源于WEB应用缺少对客户端数据的正确验证.
攻击者可利用该漏洞执行客户端代码.
CNVD提醒广大用户随时关注厂商主页,以获取最新版本.
参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16420更多高危漏洞如表4所示,详细信息可根据CNVD编号,在CNVD官网进行查询.
参考链接:http://www.
cnvd.
org.
cn/flaw/list.
htm表4部分重要高危漏洞列表CNVD编号漏洞名称综合评级修复方式CNVD-2019-16270ComputrolsCBASWeb命令注入漏洞高厂商已发布漏洞修复程序,请及时关注更新:http://www.
computrols.
com/support/technical-support/CNVD-2019-16272DockerAPI端点路径遍历漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://www.
docker.
com/CNVD-2019-16415FacebookWhatsApp缓冲区溢出漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.
facebook.
com/security/advisories/cve-2019-3568CNVD-2019-16416IBMi2IntelligentAnalyisPlatformXML外部实体漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www-01.
ibm.
com/support/docview.
wssuid=ibm10881746CNVD-2019-16421OICExponentCMSSQL注入漏洞(CNVD-2019-16421)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.
com/exponentcms/exponent-cms/commit/99636b2118cd9af4eb9920f6b6c228bd824593dCNVD-2019-16481Serendipity代码注入漏洞高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.
com/s9y/Serendipity/releases/tag/2.
0.
4CNVD-2019-16527MitsubishiElectricMELSEC-QSeriesPLCs远程拒绝服务漏洞高目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.
mitsubishielectric.
com/CNVD-2019-16526ExponentCMS对象注入漏洞高目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.
com/exponentcms/exponent-cms/commit/fdafb5ec97838e4edbd685f587f28d3174ebb3dbCNVD-2019-16532OICExponentCMSSQL注入漏洞(CNVD-2019-16532)高目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.
com/exponentcms/exponent-cms/commit/fdafb5ec97838e4edbd685f587f28d3174ebb3dbCNVD-2019-16580HPWorkstationBIOS代码执行漏洞高用户可参考如下厂商提供的安全补丁以修复该漏洞:https://support.
hp.
com/us-en/document/c06318199小结:本周,Adobe被披露存在缓冲区溢出漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码.
此外,Oracle、Microsoft、Linux等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取网站管理员访问权限,执行任意代码,造成内存破坏等.
SamsungSCX-824被披露存在跨站脚本漏洞.
攻击者可利用该漏洞执行客户端代码.
建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案.
本周重要漏洞攻击验证情况本周,CNVD建议注意防范以下已公开漏洞攻击验证情况.
1、WordPress插件Ad-Manager开放重定向漏洞验证描述WordPress是WordPress软件基金会的一套使用PHP语言开发的博客平台,该平台支持在PHP和MySQL的服务器上架设个人博客网站.
WordPress插件Ad-Manager存在开放重定向漏洞.
攻击者可成功启动网络钓鱼欺诈,并且窃取用户凭据.
验证信息POC链接:https://www.
exploitalert.
com/view-details.
htmlid=33204参考链接:http://www.
cnvd.
org.
cn/flaw/show/CNVD-2019-16597信息提供者CNVD工作组注:以上验证信息(方法)可能带有攻击性,仅供安全研究之用.
请广大用户加强对漏洞的防范工作,尽快下载相关补丁.
本周漏洞要闻速递1.
全新的RCE漏洞影响了近一半电子邮件服务器近日,安全研究人员透露,一个关键的远程命令执行(RCE)安全漏洞影响了超过一半的互联网电子邮件服务器.
该漏洞影响Exim,一种邮件传输代理(MTA)服务,用于将电子邮件从发件人中继到收件人.
根据2019年6月对互联网上可见的所有邮件服务器的调查,57%(507,389)的电子邮件服务器运行Exim服务,还有报告称实际数量为该数字的10倍,即540万.
该漏洞允许本地或远程攻击者以root用户身份在Exim服务器上运行命令并接管系统.
在发给Linux发行版维护者的电子邮件中,Qualys表示该漏洞"非常容易被利用",并预计攻击者会在未来几天内提出漏洞利用代码.
参考链接:https://www.
zdnet.
com/article/new-rce-vulnerability-impacts-nearly-half-of-the-internets-email-servers/#ftag=RSSbaffb682.
黑客可劫持远程桌面会话,绕过Windows锁屏卡耐基梅隆大学的CERT协调中心近日发布预警称,Windows远程桌面服务的网络级身份验证(NLA)功能可被黑客利用,绕过Windows的锁屏.
黑客主要是通过0-day漏洞(CVE-2019-9510)劫持现有的远程桌面服务会话,绕过锁屏并获取对计算机的访问权限.
即使计算机开启双因素认证也无济于事.
这个漏洞主要影响Windows1803之后的Windows10版本,以及Server2019或更新版本.
目前,微软尚未发布相关补丁.
参考链接:https://www.
securityweek.
com/hackers-can-bypass-windows-lockscreen-remote-desktop-sessions关于CNVD国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系.
关于CNCERT国家计算机网络应急技术处理协调中心(简称"国家互联网应急中心",英文简称是CNCERT或CNCERT/CC),成立于2002年9月,为非政府非盈利的网络安全技术中心,是我国网络安全应急体系的核心协调机构.
作为国家级应急中心,CNCERT的主要职责是:按照"积极预防、及时发现、快速响应、力保恢复"的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,维护国家公共互联网安全,保障基础信息网络和重要信息系统的安全运行.
网址:www.
cert.
org.
cn邮箱:vreport@cert.
org.
cn电话:010-82991537