第85期漏洞态势

第 85 期（ 2019.5.13-2019.5.19 ）

一、本周漏洞基本态势

本周轩辕攻防实验室共收集、整理信息安全漏洞1476个，其中高危漏洞620个、中危漏洞742个、低危漏洞114个，较上周相比较减少664个，同比减少45%。据统计发现 SQL 注入漏洞是本周占比最大的漏洞，也是据统计以来，除第7期和第40期以外，每周漏洞数量都占比最大的漏洞。

图1 近7周漏洞数量分布图

根据监测结果，本周轩辕攻防实验室共整理漏洞1476个，其中其他行业519个、电信与互联网行业424个、商业平台行业145个、教育行业87个、政府部门78个、工业制造行业76个、医疗卫生行业51个、环境保护行业21个、能源行业18个、交通行业17个、市政行业14个、金融行业11个、新闻行业10个、水利行业4个、广播与电视行业1个，分布统计图如下所示：

图2 行业类型数量统计

本周漏洞类型分布统计

本周监测共有漏洞1476个，其中，漏洞数量位居首位的是SQL注入漏洞占比为30%，漏洞数量位居第二的是敏感信息泄露漏洞占比29%，位居第三的是弱口令漏洞占比10%，这三种漏洞数量就占总数69%，与上周相比较，发现SQL注入漏洞数量占比增加，敏感信息泄露漏洞数量占比与上周相同，弱口令漏洞数量占比增加，其中SQL注入漏洞数量占比增加8%，弱口令漏洞数量占比增加4%；其他几种漏洞仅占总数的31%，这几种漏洞中，命令执行漏洞占比6%、其他漏洞占比4%、XSS跨站脚本攻击漏洞占比6%、未授权访问/越权漏洞占比12%、CSRF跨站请求伪造漏洞占比0.5%、设计缺陷/逻辑漏洞占比2%、任意文件遍历/下载漏洞占比0.5%。本周漏洞类型占比分布图如下：

图3 漏洞类型分布统计

经统计，SQL注入漏洞和弱口令漏洞在电信与互联网行业存在较为明显，敏感信息漏洞在商业平台行业存在较为明显。同时SQL注入漏洞也是本周漏洞类型统计中占比最多的漏洞，广大用户应加强对SQL注入漏洞的防范。SQL注入漏洞在各行业分布统计图如下：

图4 SQL注入漏洞行业分布统计

本周通用型漏洞按影响对象类型统计

WEB 应用漏洞551个、操作系统漏洞53个、应用程序漏洞50个、安全产品漏洞46个、数据库漏洞30个、网络设备漏洞10个、智能设备漏洞2个。

图5 漏洞影响对象类型统计图

二、本周通用型产品公告

1 、 Microsoft 产品安全漏洞

Microsoft JetDatabase Engine是一个底层数据库引擎。本周，上述产品被披露存在远程代码执行漏洞， 攻击者可利用漏洞执行任意代码。

收录的相关漏洞包括 ：Microsoft Jet Database Engine远程代码执行漏洞（CNVD-2019-14454、CNVD-2019-14455、CNVD-2019-14457、CNVD-2019-14456、CNVD-2019-14459、CNVD-2019-14458 、CNVD-2019-14460、CNVD-2019-14462）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0575

2 、 Cisco 产品安全漏洞

Cisco IOS是一套为其网络设备开发的操作系统。Cisco NX-OS是适用于思科Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机的网络操作系统。本周，上述产品被披露存在拒绝服务和命令注入漏洞，攻击者可利用漏洞执行任意命令，发起拒绝服务攻击。

收录的相关漏洞包括 ：Cisco IOS NAT64拒绝服务漏洞、CiscoNX-OS命令注入漏洞（CNVD-2019-14614、CNVD-2019-14613、CNVD-2019-14615、CNVD-2019-14619、CNVD-2019-14620、CNVD-2019-14621、CNVD-2019-14623）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-nat64

3 、 Foxit 产品安全漏洞

Foxit Reader和Foxit PhantomPDF都是一款PDF文档阅读器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意命令等。

收录的相关漏洞包括 ：Foxit Reader和FoxitPhantomPDF for Windows缓冲区溢出漏洞（CNVD-2019-13808）、Foxit Reade和Foxit PhantomPDF for Windows路径遍历漏洞、Foxit Reader和FoxitPhantomPDF for Windows资源管理错误漏洞（CNVD-2019-13810）、Foxit Reader和Foxit PhantomPDF for Windows越界写入漏洞（CNVD-2019-13812、CNVD-2019-13813、CNVD-2019-13817）、Foxit Reader和Foxit PhantomPDF for Windows信息泄露漏洞（CNVD-2019-13811）、Foxit Reader和Foxit PhantomPDF for Windows越界读取漏洞（CNVD-2019-13818）。上述漏洞的综合评级为“高危”。目前， 厂商已经发布了上述漏洞的修补程序，提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.foxitsoftware.com/support/security-bulletins.php

4 、 doorGets 产品安全漏洞

doorGets是一款免费开源内容管理系统。本周，该产品被披露存在SQL注入和敏感信息泄露漏洞，攻击者可利用漏洞获取数据库敏感信息。

收录的相关漏洞包括：doorGets敏感信息泄露漏洞（CNVD-2019-13789、CNVD-2019-13788、CNVD-2019-13791、CNVD-2019-13790、CNVD-2019-13793、CNVD-2019-13792）、doorGets SQL注入漏洞（CNVD-2019-13795、CNVD-2019-13796）。目前，厂商针对该漏洞暂时没有发布漏洞修补程序，提醒用户及时关注补丁的更新情况，避免引发漏洞相关的网络安全事件。

参考链接：

http://www.doorgets.com/t/en/

5 、 ZyXEL NSA325V2 跨站请求伪造漏洞

ZyXEL NSA325 V2是一款网络存储设备。ZyXEL NSA325V2被披露存在跨站请求伪造漏洞。攻击者可借助特制的HTTP表单利用该漏洞执行状态更改操作。提醒广大用户随时关注厂商主页，以获取最新版本。目前，厂商针对该漏洞暂时没有发布漏洞修补程序，提醒用户及时关注补丁的更新情况，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.zyxel.com/

三、本周重要漏洞攻击验证情况 

PHP-Fusion 'Edit Profile' 远程代码执行漏洞

验证描述

PHP-Fusion是一套基于 MySql 和 PHP 的开源轻量级内容管理系统。

PHP-Fusion 'Edit Profile'存在远程代码执行漏洞。攻击者可利用漏洞使用普通用户权限在系统中执行命令。

验证信息

POC链接：

https://www.exploitalert.com/view-details.html?id=33106

注：以上验证信 息(方法)可能带有攻击性，仅供安全研究之用。请广大用户加强对漏洞的防范工作，尽快下载相关 补丁。

四、本周安全资讯

1.俄罗斯政府网站泄露225万用户护照和个人信息

多个俄罗斯政府网站泄露了超过225万公民、府雇员和政治家的个人和护照信息，任何人都可以下载。俄罗斯非政府组织Informational Culture的联合创始人Ivan Begtin发现并记录了泄漏事件。他调查了政府在线认证中心\50个政府门户网站以及政府机构使用的电子投标平台。其中有23个网站泄露个人保险账号（SNILS：俄罗斯相当于社会安全号码）和14个泄露护照信息的网站。

Begtin表示通过这些网站可以在线获得超过225万俄罗斯公民的数据，包括全名、职称和工作地点、电子邮件、税号、护照号等信息。虽然一部分泄漏数据难以识别并且需要从数字签名文件中提取元数据，但可以通过谷歌搜索政府网站上的开放网络目录找到一些数据 。

2.英特尔处理器新漏洞ZombieLoad

在 Meltdown、Spectre 和 Foreshadow 之后，计算机科学家公开了英特尔处理器的新边信道攻击 ZombieLoad，攻击影响 2011 年之后发布的几乎所有英特尔处理器（包括 Core 和 Xeon），AMD 不受影响。这是一个硬件问题，因此漏洞利用代码可以工作在 Windows 和 Linux 等不同操作系统上。ZombieLoad 的漏洞利用同样是基于预测执行过程，通过利用 CPU 负荷返回值的旁路逻辑，去实现跨线程、权限边界和超线程的数据泄露。英特尔据报道曾试图推迟漏洞披露。

附： 第84期漏洞态势

部分数据来源CNVD