漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2020年5月份采集安全漏洞共1186个。
本月接报漏洞16377个,其中信息技术产品漏洞(通用型漏洞)201个,网络信息系统漏洞(事件型漏洞)16176个。
重大漏洞预警
微软多个安全漏洞:包括Microsoft SharePoint 安全漏洞(CNNVD-202005-567、CVE-2020-1024)、Microsoft Excel 安全漏洞(CNNVD-202005-555、CVE-2020-0901)、Internet Explorer 内存损坏漏洞(CNNVD-202005-549、CVE-2020-1062)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2020年5月份新增安全漏洞共1186个,从厂商分布来看,Microsoft公司产品的漏洞数量最多,共发布115个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到15.60%。本月新增漏洞中,超危漏洞163个、高危漏洞539个、中危漏洞447个、低危漏洞37个,相应修复率分别为77.91%、89.24%、85.01%以及89.19%。合计1021个漏洞已有修复补丁发布,本月整体修复率86.09%。
截至2020年05月31日,CNNVD采集漏洞总量已达145456个。
1.1 漏洞增长概况
图1 2019年12月至2020年5月漏洞新增数量统计图
2020年5月新增安全漏洞1186个,与上月(2155个)相比减少了44.97%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到1519个。
1.2 漏洞分布情况
1.2.1漏洞厂商分布
5月厂商漏洞数量分布情况如表1所示,Microsoft公司漏洞达到115个,占本月漏洞总量的9.70%。
表1 2020年5月排名前十厂商新增安全漏洞统计表
序号 | 厂商名称 | 漏洞数量 | 所占比例 |
| 1 | Microsoft | 115 | 9.70% |
| 2 | Apple | 64 | 5.40% |
| 3 | IBM | 57 | 4.81% |
4 | 54 | 4.55% | |
| 5 | Cisco | 42 | 3.54% |
| 6 | Adobe | 39 | 3.29% |
| 7 | Linux基金会 | 33 | 2.78% |
| 8 | FreeRDP团队 | 30 | 2.53% |
| 9 | Palo Alto Networks | 24 | 2.02% |
| 10 | Qualcomm | 22 | 1.85% |
1.2.2漏洞产品分布
5月主流操作系统的漏洞统计情况如表2所示。本月Windows 10漏洞数量最多,共78个,占主流操作系统漏洞总量的17.22%,排名第一。
表2 2020年5月主流操作系统漏洞数量统计
序号 | 操作系统名称 | 漏洞数量 |
1 | Windows 10 | 78 |
2 | Windows Server 2019 | 75 |
3 | Windows Server 2016 | 61 |
4 | Windows 8.1 | 30 |
5 | Windows Server 2012 | 29 |
6 | Windows Rt 8.1 | 29 |
7 | Windows Server 2012 R2 | 29 |
8 | Windows 7 | 26 |
9 | Windows Server 2008 | 26 |
10 | Windows Server 2008 R2 | 26 |
11 | Android | 22 |
12 | Linux Kernel | 22 |
*由于Windows整体市占率高达百分之九十以上,所以
上表针对不同的Windows版本分别进行统计
*上表漏洞数量为影响该版本的漏洞数量,由于同一漏洞
可能影响多个版本操作系统,计算某一系列操作系统漏洞
总量时,不能对该系列所有操作系统漏洞数量进行简单相加。
1.2.3 漏洞类型分布
5月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为15.60%。
表3 2020年5月漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 缓冲区错误 | 185 | 15.60% |
2 | 跨站脚本 | 107 | 9.02% |
3 | 输入验证错误 | 104 | 8.77% |
4 | 信息泄露 | 89 | 7.50% |
5 | 代码问题 | 61 | 5.14% |
6 | 资源管理错误 | 47 | 3.96% |
7 | 路径遍历 | 36 | 3.04% |
8 | 跨站请求伪造 | 26 | 2.19% |
9 | 授权问题 | 25 | 2.11% |
10 | 注入 | 23 | 1.94% |
11 | 信任管理问题 | 23 | 1.94% |
12 | 操作系统命令注入 | 20 | 1.69% |
13 | 访问控制错误 | 19 | 1.60% |
14 | SQL注入 | 16 | 1.35% |
15 | 竞争条件问题 | 11 | 0.93% |
16 | 数据伪造问题 | 8 | 0.67% |
17 | 加密问题 | 7 | 0.59% |
18 | 代码注入 | 6 | 0.51% |
19 | 环境问题 | 6 | 0.51% |
20 | 安全特征问题 | 5 | 0.42% |
21 | 参数注入 | 3 | 0.25% |
22 | 日志信息泄露 | 2 | 0.17% |
23 | 后置链接 | 2 | 0.17% |
24 | 数字错误 | 1 | 0.08% |
25 | 其他 | 354 | 29.85% |
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。5月漏洞危害等级分布如图2所示,其中超危漏洞163条,占本月漏洞总数的13.74%。
图2 2020年5月漏洞危害等级分布
1.3漏洞修复情况
1.3.1 整体修复情况
5月漏洞修复情况按危害等级进行统计见图3。其中高危漏洞修复率最高,达到89.24%,超危漏洞修复率最低,比例为77.91%。总体来看,本月整体修复率,由上月的87.01%下降至本月的86.09%。
图3 2020年5月漏洞修复数量统计
1.3.2 厂商修复情况
5月漏洞修复情况按漏洞数量前十厂商进行统计,其中Microsoft、Apple、IBM等十个厂商共480条漏洞,占本月漏洞总数的40.47%,漏洞修复率为97.50%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Apple、IBM、Adobe、FreeRDP团队、Palo Alto Networks、Qualcomm等公司本月漏洞修复率均为100%,共468条漏洞已全部修复。
表4 2020年5月厂商修复情况统计表
序号 | 厂商名称 | 漏洞数量(个) | 修复数量 | 修复率 |
1 | Microsoft | 115 | 112 | 97.39% |
2 | Apple | 64 | 64 | 100.00% |
3 | IBM | 57 | 57 | 100.00% |
4 | 54 | 53 | 98.15% | |
5 | Cisco | 42 | 40 | 95.24% |
6 | Adobe | 39 | 39 | 100.00% |
7 | Linux基金会 | 33 | 27 | 81.82% |
8 | FreeRDP团队 | 30 | 30 | 100.00% |
9 | Palo Alto Networks | 24 | 24 | 100.00% |
10 | Qualcomm | 22 | 22 | 100.00% |
1.4 重要漏洞实例
1.4.1 超危漏洞实例
本月超危漏洞共163个,其中重要漏洞实例如表5所示。
表5 2020年5月超危漏洞实例
序号 | 漏洞类型 | CNNVD编号 | 厂商 | 漏洞实例 |
1 | 操作系统命令注入 | CNNVD-202005-015 | Google chrome-launcher 操作系统命令注入漏洞 | |
CNNVD-202005-147 | IBM | |||
CNNVD-202005-270 | curlrequest项目 | |||
CNNVD-202005-276 | Infomark | |||
CNNVD-202005-294 | ASSA ABLO | |||
CNNVD-202005-1137 | Python软件基金会 | |||
CNNVD-202005-1294 | Ubiquiti Networks | |||
CNNVD-202005-1381 | Vim | |||
2 | 代码问题 | CNNVD-202005-126 | Mozilla基金会 | Microsoft Windows和Windows Server 代码问题漏洞 |
CNNVD-202005-442 | Apache软件基金会 | |||
CNNVD-202005-514 | TYPO3协会 | |||
CNNVD-202005-621 | Microsoft | |||
CNNVD-202005-665 | Apache软件基金会 | |||
CNNVD-202005-788 | Apache软件基金会 | |||
CNNVD-202005-789 | Apache软件基金会 | |||
CNNVD-202005-833 | Pandas团队 | |||
CNNVD-202005-835 | 个人开发者 | |||
CNNVD-202005-842 | Elemento团队 | |||
CNNVD-202005-1078 | Apache软件基金会 | |||
CNNVD-202005-1080 | WSO2 | |||
CNNVD-202005-1123 | Jodd团队 | |||
CNNVD-202005-1247 | Raonwiz | |||
CNNVD-202005-1318 | Inductive Automation | |||
CNNVD-202005-1323 | Inductive Automation | |||
3 | 代码注入 | CNNVD-202005-030 | Apache软件基金会 | Apache Syncope 代码注入漏洞 |
CNNVD-202005-836 | logkitty项目 | |||
CNNVD-202005-949 | Panasonic | |||
CNNVD-202005-1388 | 个人开发者 | |||
4 | 缓冲区错误 | CNNVD-202005-071 | Qualcomm | Linux kernel 缓冲区错误漏洞 |
CNNVD-202005-084 | ||||
CNNVD-202005-095 | ||||
CNNVD-202005-100 | Mozilla基金会 | |||
CNNVD-202005-101 | Mozilla基金会 | |||
CNNVD-202005-102 | Mozilla基金会 | |||
CNNVD-202005-106 | Linux基金会 | |||
CNNVD-202005-228 | Samsung | |||
CNNVD-202005-283 | FreeRDP团队 | |||
CNNVD-202005-295 | Advantech | |||
CNNVD-202005-298 | Advantech | |||
CNNVD-202005-366 | AppNeta | |||
CNNVD-202005-410 | libEMF项目 | |||
CNNVD-202005-411 | Samsung | |||
CNNVD-202005-413 | Samsung | |||
CNNVD-202005-435 | PHP | |||
CNNVD-202005-527 | Adobe | |||
CNNVD-202005-530 | Adobe | |||
CNNVD-202005-538 | Adobe | |||
CNNVD-202005-555 | Microsoft | |||
CNNVD-202005-669 | Infradead | |||
CNNVD-202005-698 | Adobe | |||
CNNVD-202005-700 | Adobe | |||
CNNVD-202005-701 | Adobe | |||
CNNVD-202005-704 | Adobe | |||
CNNVD-202005-712 | FreeBSD基金会 | |||
CNNVD-202005-713 | Ping Identity | |||
CNNVD-202005-717 | TRENDnet | |||
CNNVD-202005-753 | Palo Alto Networks | |||
CNNVD-202005-816 | FreeRDP团队 | |||
CNNVD-202005-817 | FreeRDP团队 | |||
CNNVD-202005-819 | FreeRDP团队 | |||
CNNVD-202005-837 | SETA | |||
CNNVD-202005-1071 | libexif项目 | |||
CNNVD-202005-1139 | Tenda | |||
CNNVD-202005-1140 | Tenda | |||
CNNVD-202005-1141 | Tenda | |||
CNNVD-202005-1142 | Tenda | |||
CNNVD-202005-1143 | Tenda | |||
CNNVD-202005-1144 | Tenda | |||
5 | 其他 | CNNVD-202005-038 | Longbrothers Digital | Emerson Electric OpenEnterprise 安全漏洞 |
CNNVD-202005-173 | Tobesoft | |||
CNNVD-202005-174 | Raonwiz | |||
CNNVD-202005-175 | Raonwiz | |||
CNNVD-202005-187 | Tobesoft | |||
CNNVD-202005-242 | Blaauw | |||
CNNVD-202005-249 | Blaauw | |||
CNNVD-202005-300 | Sorcery项目 | |||
CNNVD-202005-315 | InternetBrands、vBulletinSolutions | |||
CNNVD-202005-405 | 个人开发者 | |||
CNNVD-202005-434 | Linux基金会 | |||
CNNVD-202005-523 | Adobe | |||
CNNVD-202005-537 | Adobe | |||
CNNVD-202005-572 | Adobe | |||
CNNVD-202005-576 | Adobe | |||
CNNVD-202005-783 | Bond Technology Management | |||
CNNVD-202005-794 | Veritas Technologies | |||
CNNVD-202005-828 | eQ-3 | |||
CNNVD-202005-829 | D-Link | |||
CNNVD-202005-831 | MISP | |||
CNNVD-202005-865 | BlueTrace | |||
CNNVD-202005-880 | AMD | |||
CNNVD-202005-943 | Panasonic | |||
CNNVD-202005-959 | Emerson Electric | |||
CNNVD-202005-965 | ||||
CNNVD-202005-966 | ||||
CNNVD-202005-1084 | TIBCO Software | |||
CNNVD-202005-1087 | Panasonic | |||
CNNVD-202005-1091 | Apache软件基金会 | |||
CNNVD-202005-1102 | MariaDB基金会 | |||
CNNVD-202005-1116 | Pango | |||
CNNVD-202005-1134 | Gaon I | |||
CNNVD-202005-1153 | Aviatrix Systems | |||
CNNVD-202005-1250 | Verbb | |||
CNNVD-202005-1383 | Gaon I | |||
CNNVD-202005-1397 | bbPress | |||
CNNVD-202005-1444 | Micro Focus | |||
6 | 授权问题 | CNNVD-202005-018 | 个人开发者 | Cisco Adaptive Security Appliances Software 授权问题漏洞 |
CNNVD-202005-155 | IBM | |||
CNNVD-202005-198 | Cisco | |||
CNNVD-202005-349 | ZOHO | |||
CNNVD-202005-768 | Palo Alto Networks | |||
CNNVD-202005-801 | Opto 22 | |||
CNNVD-202005-872 | rConfig | |||
CNNVD-202005-919 | Jenzabar | |||
CNNVD-202005-1368 | Trend Micro | |||
7 | 输入验证错误 | CNNVD-202005-132 | Mozilla基金会 | Mozilla Firefox和Firefox ESR 输入验证错误漏洞 |
CNNVD-202005-139 | Mozilla基金会 | |||
CNNVD-202005-313 | Advantech | |||
CNNVD-202005-397 | Enlightenment | |||
CNNVD-202005-708 | FreeBSD基金会 | |||
CNNVD-202005-785 | Apache软件基金会 | |||
CNNVD-202005-814 | VanDyke Software | |||
CNNVD-202005-815 | FreeRDP团队 | |||
CNNVD-202005-818 | FreeRDP团队 | |||
CNNVD-202005-820 | FreeRDP团队 | |||
CNNVD-202005-972 | MyLittleTools | |||
CNNVD-202005-1098 | Cisco | |||
CNNVD-202005-1246 | Cybozu | |||
8 | 信任管理问题 | CNNVD-202005-006 | TP-Link | IBM Data Risk Manager 信任管理问题漏洞 |
CNNVD-202005-144 | IBM | |||
CNNVD-202005-189 | Cisco | |||
CNNVD-202005-399 | Zulip |
1. Googlechrome-launcher 操作系统命令注入漏洞(CNNVD-202005-015)
Google chrome-launcher是美国谷歌(Google)公司的一款用于从Node.js启动Chrome浏览器的启动器。
Google chrome-launcher(所有版本)中存在操作系统命令注入漏洞。攻击者可通过控制Linux操作系统中的$HOME环境变量利用该漏洞执行任意命令。
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://github.com/GoogleChrome/chrome-launcher
2. MicrosoftWindows和Windows Server代码问题漏洞(CNNVD-202005-621)
Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。MicrosoftWindows是一套个人设备使用的操作系统。MicrosoftWindows Server是一套服务器操作系统。
Microsoft Windows和Windows Server中存在提权漏洞,该漏洞源于WindowsBackground Intelligent Transfer Service (BITS) IIS模块无法正确处理上传的内容。攻击者可借助特制的文件利用该漏洞向IIS托管的文件夹中上传被限制的文件类型。以下产品及版本受到影响:Microsoft Windows 10,Windows 10 1607版本,Windows10 1709版本,Windows 101803版本,Windows 101809版本,Windows 101903版本,Windows 101909版本,Windows 7 SP1,Windows 8.1,WindowsRT 8.1,Windows Server 2008 SP2,Windows Server 2008 R2 SP1,Windows Server 2012,Windows Server 2012 R2,Windows Server 2016,Windows Server 2019,Windows Server 1803版本,Windows Server 1903版本,Windows Server 1909版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1112
3. Apache Syncope 代码注入漏洞(CNNVD-202005-030)
Apache Syncope是美国阿帕奇(Apache)基金会的一套用于企业环境中的开源数字身份管理系统。该系统支持身份管理、角色配置等。
Apache Syncope2.1.6之前版本中存在安全漏洞。攻击者可利用该漏洞注入任意的Java EL表达式,执行任意的Java代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
http://syncope.apache.org/security
4. Linux kernel 缓冲区错误漏洞(CNNVD-202005-106)
Linux kernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。
Linux kernel 5.5.4之前版本中的drivers/net/wireless/marvell/mwifiex/wmm.c文件的‘mwifiex_ret_wmm_get_status()’函数存在缓冲区错误漏洞,该漏洞源于该函数没有正确检查边界。本地攻击者可借助特制请求利用该漏洞执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://cdn.kernel.org/pub/linux/kernel/v5.x/ChangeLog-5.5.4
5. EmersonElectric OpenEnterprise安全漏洞(CNNVD-202005-959)
Emerson Electric OpenEnterprise是美国艾默生电气(Emerson Electric)公司的一套主要用于远程石油和天然气应用的数据采集与监控系统(SCADA)。
Emerson Electric OpenEnterprise 3.3.4及之前版本中存在安全漏洞。攻击者可利用该漏洞以系统权限执行任意命令或执行代码。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.emerson.com/
6. Cisco AdaptiveSecurity Appliances Software 授权问题漏洞(CNNVD-202005-198)
Cisco Adaptive Security Appliances Software(ASA Software)是美国思科(Cisco)公司的一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。
Cisco ASA Software中存在授权问题漏洞,该漏洞源于在接收到身份验证成功的响应时,程序没有对KDC进行充分的身份验证。攻击者可利用该漏洞绕过Kerberos身份验证。以下产品及版本受到影响:Cisco ASA Software 9.6及之前版本,9.7版本,9.8版本,9.9版本,9.10版本,9.12版本,9.13版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-asa-kerberos-bypass-96Gghe2sS
7. MozillaFirefox和Firefox ESR 输入验证错误漏洞(CNNVD-202005-132)
Mozilla Firefox和Mozilla Firefox ESR都是美国Mozilla基金会的产品。MozillaFirefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。
基于Windows平台的MozillaFirefox ESR 68.8之前版本和Firefox 76之前版本中存在安全漏洞。攻击者可利用该漏洞绕过沙盒保护。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2020-16/
https://www.mozilla.org/en-US/security/advisories/mfsa2020-17/
8. IBM Data RiskManager 信任管理问题漏洞(CNNVD-202005-144)
IBM Data Risk Manager是美国IBM公司的一款数据风险管理器。该产品支持发现、分析和可视化业务风险数据等。
IBM Data Risk Manager中存在信任管理问题漏洞,该漏洞源于IDRM管理账户使用了默认密码。攻击者可利用该漏洞登录到系统,获取root权限并执行任意代码。以下产品及版本受到影响:IBM Data Risk Manager 2.0.1版本,2.0.2版本,2.0.3版本,2.0.4版本,2.0.5版本,2.0.6版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6206875
1.4.2 高危漏洞实例
本月高危漏洞共539个,其中重点漏洞实例如表6所示。
表6 2020年5月高危漏洞实例
序号 | 漏洞类型 | CNNVD编号 | 厂商 | 漏洞实例 |
1 | SQL注入 | CNNVD-202005-119 | 个人开发者 | WordPress wp-advanced-search SQL注入漏洞 |
CNNVD-202005-140 | Teclib | |||
CNNVD-202005-248 | Blaauw | |||
CNNVD-202005-299 | Advantech | |||
CNNVD-202005-500 | SAP | |||
CNNVD-202005-501 | SAP | |||
CNNVD-202005-508 | SAP | |||
CNNVD-202005-935 | Rockwell Automation | |||
CNNVD-202005-958 | Paid Memberships Pro团队 | |||
CNNVD-202005-1090 | Cisco | |||
2 | 操作系统命令注入 | CNNVD-202005-007 | TP-Link | Apache Kylin 操作系统命令注入漏洞 |
CNNVD-202005-012 | TP-Link | |||
CNNVD-202005-010 | NetFortris | |||
CNNVD-202005-047 | Dell | |||
CNNVD-202005-297 | Gira | |||
CNNVD-202005-757 | Palo Alto Networks | |||
CNNVD-202005-758 | Palo Alto Networks | |||
CNNVD-202005-760 | Palo Alto Networks | |||
CNNVD-202005-764 | Palo Alto Networks | |||
CNNVD-202005-1110 | Centreon | |||
CNNVD-202005-1133 | Apache软件基金会 | |||
CNNVD-202005-1365 | Trend Micro | |||
3 | 代码问题 | CNNVD-202005-033 | Longbrothers Digital | Microsoft SharePoint 代码问题漏洞 |
CNNVD-202005-044 | EPAM Systems | |||
CNNVD-202005-060 | Qualcomm | |||
CNNVD-202005-154 | Fazecast、Schneider Electric | |||
CNNVD-202005-185 | CloudBees | |||
CNNVD-202005-233 | OpenStack项目 | |||
CNNVD-202005-316 | WSO2 | |||
CNNVD-202005-347 | Plex | |||
CNNVD-202005-403 | Pi-hole | |||
CNNVD-202005-447 | OpenNMS Group | |||
CNNVD-202005-504 | SAP | |||
CNNVD-202005-512 | TYPO3协会 | |||
CNNVD-202005-520 | Linux基金会 | |||
CNNVD-202005-561 | Microsoft | |||
CNNVD-202005-566 | Microsoft | |||
CNNVD-202005-567 | Microsoft | |||
CNNVD-202005-677 | OSIsoft | |||
CNNVD-202005-684 | Osisoft | |||
CNNVD-202005-697 | Osisoft | |||
CNNVD-202005-705 | Envoy项目、Istio项目 | |||
CNNVD-202005-715 | Tyler Technologies | |||
CNNVD-202005-763 | Palo Alto Networks | |||
CNNVD-202005-769 | Six Apart | |||
CNNVD-202005-803 | Opto 22 | |||
CNNVD-202005-838 | kerberos项目 | |||
CNNVD-202005-863 | Dovecot | |||
CNNVD-202005-875 | rConfig | |||
CNNVD-202005-937 | Sourcefabric | |||
CNNVD-202005-1070 | libexif项目 | |||
CNNVD-202005-1101 | Microweber社区 | |||
CNNVD-202005-1117 | Splashtop | |||
CNNVD-202005-1132 | 个人开发者 | |||
CNNVD-202005-1342 | IBM | |||
CNNVD-202005-1343 | Linux基金会 | |||
CNNVD-202005-1353 | 个人开发者 | |||
CNNVD-202005-1385 | JerryScript项目 | |||
CNNVD-202005-1430 | 个人开发者 | |||
4 | 缓冲区错误 | CNNVD-202005-024 | Synology | Microsoft Windows Media Foundation 缓冲区错误漏洞 |
CNNVD-202005-056 | Qualcomm | |||
CNNVD-202005-074 | Qualcomm | |||
CNNVD-202005-076 | ||||
CNNVD-202005-080 | Qualcomm | |||
CNNVD-202005-087 | ||||
CNNVD-202005-094 | ||||
CNNVD-202005-114 | NETGEAR | |||
CNNVD-202005-136 | Accusoft | |||
CNNVD-202005-148 | Accusoft | |||
CNNVD-202005-153 | Accusoft | |||
CNNVD-202005-168 | GraphicsMagick | |||
CNNVD-202005-222 | Cisco | |||
CNNVD-202005-224 | Cisco | |||
CNNVD-202005-281 | FreeRDP团队 | |||
CNNVD-202005-292 | Advantech | |||
CNNVD-202005-406 | Exim项目 | |||
CNNVD-202005-416 | Samsung | |||
CNNVD-202005-417 | Samsung | |||
CNNVD-202005-429 | Linux基金会 | |||
CNNVD-202005-431 | Linux基金会 | |||
CNNVD-202005-509 | Libreswan项目 | |||
CNNVD-202005-521 | Adobe | |||
CNNVD-202005-524 | Adobe | |||
CNNVD-202005-525 | Adobe | |||
CNNVD-202005-529 | Adobe | |||
CNNVD-202005-532 | Adobe | |||
CNNVD-202005-534 | Adobe | |||
CNNVD-202005-540 | Microsoft | |||
CNNVD-202005-541 | Microsoft | |||
CNNVD-202005-544 | Microsoft | |||
CNNVD-202005-545 | Microsoft | |||
CNNVD-202005-546 | Microsoft | |||
CNNVD-202005-547 | Adobe | |||
CNNVD-202005-548 | Adobe | |||
CNNVD-202005-549 | Microsoft | |||
CNNVD-202005-550 | Microsoft | |||
CNNVD-202005-551 | Adobe | |||
CNNVD-202005-553 | Microsoft | |||
CNNVD-202005-565 | Microsoft | |||
CNNVD-202005-569 | Microsoft | |||
CNNVD-202005-580 | Microsoft | |||
CNNVD-202005-581 | Microsoft | |||
CNNVD-202005-582 | Microsoft | |||
CNNVD-202005-590 | Microsoft | |||
CNNVD-202005-601 | Microsoft | |||
CNNVD-202005-606 | Microsoft | |||
CNNVD-202005-613 | Microsoft | |||
CNNVD-202005-616 | Microsoft | |||
CNNVD-202005-636 | Microsoft | |||
CNNVD-202005-648 | Microsoft | |||
CNNVD-202005-670 | GNOME | |||
CNNVD-202005-671 | Microsoft | |||
CNNVD-202005-672 | Microsoft | |||
CNNVD-202005-679 | Adobe | |||
CNNVD-202005-680 | Adobe | |||
CNNVD-202005-681 | Adobe | |||
CNNVD-202005-682 | Adobe | |||
CNNVD-202005-686 | Adobe | |||
CNNVD-202005-688 | Adobe | |||
CNNVD-202005-694 | Adobe | |||
CNNVD-202005-696 | Adobe | |||
CNNVD-202005-709 | FreeBSD基金会 | |||
CNNVD-202005-723 | IBM | |||
CNNVD-202005-724 | IBM | |||
CNNVD-202005-726 | IBM | |||
CNNVD-202005-728 | IBM | |||
CNNVD-202005-732 | IBM | |||
CNNVD-202005-733 | IBM | |||
CNNVD-202005-734 | IBM | |||
CNNVD-202005-735 | IBM | |||
CNNVD-202005-737 | IBM | |||
CNNVD-202005-739 | IBM | |||
CNNVD-202005-740 | IBM | |||
CNNVD-202005-742 | IBM | |||
CNNVD-202005-744 | IBM | |||
CNNVD-202005-745 | IBM | |||
CNNVD-202005-755 | Palo Alto Networks | |||
CNNVD-202005-765 | Palo Alto Networks | |||
CNNVD-202005-773 | Huawei | |||
CNNVD-202005-781 | IBM | |||
CNNVD-202005-839 | NaviServer项目 | |||
CNNVD-202005-910 | SANE项目 | |||
CNNVD-202005-976 | PowerDNS | |||
CNNVD-202005-1295 | Apple | |||
CNNVD-202005-1308 | Apple | |||
CNNVD-202005-1312 | Apple | |||
CNNVD-202005-1334 | Apple | |||
CNNVD-202005-1338 | Apple | |||
CNNVD-202005-1347 | Huawei | |||
5 | 跨站请求伪造 | CNNVD-202005-050 | Dell | Dell EMC RSA Archer 跨站请求伪造漏洞 |
CNNVD-202005-124 | Intelbras | |||
CNNVD-202005-127 | CommScope | |||
CNNVD-202005-129 | Intelbras | |||
CNNVD-202005-130 | CommScope | |||
CNNVD-202005-511 | TYPO3协会 | |||
CNNVD-202005-716 | Western Digital | |||
CNNVD-202005-770 | Six Apart | |||
CNNVD-202005-799 | Subrion团队 | |||
CNNVD-202005-873 | rConfig | |||
CNNVD-202005-1076 | Rails团队 | |||
CNNVD-202005-1077 | Rails团队 | |||
CNNVD-202005-1122 | Gila CMS | |||
CNNVD-202005-1148 | Aviatrix Systems | |||
CNNVD-202005-1245 | Pixel&Tonic | |||
CNNVD-202005-1296 | Ubiquiti Networks | |||
CNNVD-202005-1374 | Infolific | |||
CNNVD-202005-1375 | SiteOrigin | |||
CNNVD-202005-1379 | SiteOrigin | |||
6 | 授权问题 | CNNVD-202005-243 | F5 | Red Hat Keycloak 授权问题漏洞 |
CNNVD-202005-638 | Red Hat | |||
CNNVD-202005-749 | Palo Alto Networks | |||
CNNVD-202005-883 | NETGEAR | |||
CNNVD-202005-908 | Red Hat | |||
7 | 输入验证错误 | CNNVD-202005-058 | Qualcomm | Microsoft Visual Studio Code 输入验证错误漏洞 |
CNNVD-202005-072 | Qualcomm | |||
CNNVD-202005-075 | Qualcomm | |||
CNNVD-202005-077 | Qualcomm | |||
CNNVD-202005-116 | Mozilla基金会 | |||
CNNVD-202005-142 | Accusoft | |||
CNNVD-202005-186 | Cisco | |||
CNNVD-202005-209 | Cisco | |||
CNNVD-202005-227 | Cisco | |||
CNNVD-202005-253 | Eaton | |||
CNNVD-202005-269 | Raonwiz | |||
CNNVD-202005-271 | WAVLINK | |||
CNNVD-202005-274 | IMGTech | |||
CNNVD-202005-362 | Python软件基金会 | |||
CNNVD-202005-391 | json-c项目 | |||
CNNVD-202005-446 | Linux基金会 | |||
CNNVD-202005-449 | Linux基金会 | |||
CNNVD-202005-453 | Red Hat | |||
CNNVD-202005-454 | Linux基金会 | |||
CNNVD-202005-502 | SAP | |||
CNNVD-202005-503 | SAP | |||
CNNVD-202005-510 | SAP | |||
CNNVD-202005-554 | Microsoft | |||
CNNVD-202005-568 | Microsoft | |||
CNNVD-202005-640 | Microsoft | |||
CNNVD-202005-643 | Microsoft | |||
CNNVD-202005-646 | Microsoft | |||
CNNVD-202005-690 | ClamAV团队 | |||
CNNVD-202005-695 | ClamAV团队 | |||
CNNVD-202005-759 | Palo Alto Networks | |||
CNNVD-202005-787 | Apache软件基金会 | |||
CNNVD-202005-822 | Bitdefender | |||
CNNVD-202005-888 | IBM | |||
CNNVD-202005-892 | Nitro Software | |||
CNNVD-202005-896 | edX | |||
CNNVD-202005-912 | Moodle | |||
CNNVD-202005-918 | PowerDNS | |||
CNNVD-202005-981 | HPE | |||
CNNVD-202005-1094 | Cisco | |||
CNNVD-202005-1107 | Unisys | |||
CNNVD-202005-1159 | 个人开发者 | |||
CNNVD-202005-1386 | Lenovo | |||
CNNVD-202005-1387 | Lenovo | |||
CNNVD-202005-1424 | 奇鲁科技 | |||
CNNVD-202005-1425 | FreeRDP团队 | |||
8 | 资源管理错误 | CNNVD-202005-062 | Qualcomm | Adobe Acrobat和Reader 资源管理错误漏洞 |
CNNVD-202005-078 | Qualcomm | |||
CNNVD-202005-083 | Qualcomm | |||
CNNVD-202005-110 | Linux基金会 | |||
CNNVD-202005-182 | Cisco | |||
CNNVD-202005-183 | Cisco | |||
CNNVD-202005-196 | Cisco | |||
CNNVD-202005-202 | Cisco | |||
CNNVD-202005-207 | Cisco | |||
CNNVD-202005-211 | Cisco | |||
CNNVD-202005-213 | Cisco | |||
CNNVD-202005-215 | Cisco | |||
CNNVD-202005-217 | Cisco | |||
CNNVD-202005-218 | Cisco | |||
CNNVD-202005-408 | libEMF项目 | |||
CNNVD-202005-440 | Tobesoft | |||
CNNVD-202005-526 | Adobe | |||
CNNVD-202005-528 | Adobe | |||
CNNVD-202005-612 | F5 | |||
CNNVD-202005-711 | FreeBSD基金会 | |||
CNNVD-202005-825 | Transmissionbt | |||
CNNVD-202005-889 | Nitro Software | |||
CNNVD-202005-917 | ISC | |||
CNNVD-202005-921 | CZ.NIC协会 | |||
CNNVD-202005-956 | ||||
CNNVD-202005-971 | ||||
CNNVD-202005-973 | Wireshark团队 | |||
CNNVD-202005-1069 | libexif项目 | |||
CNNVD-202005-1095 | Huawei | |||
CNNVD-202005-1111 | ||||
CNNVD-202005-1326 | JerryScript项目 | |||
CNNVD-202005-1431 | FreeRDP团队 |
1. WordPresswp-advanced-search SQL注入漏洞(CNNVD-202005-119)
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。LearnPress是使用在其中的一个学习管理系统插件。
WordPress wp-advanced-search 3.3.6版本中的导入功能存在SQL注入漏洞。攻击者可通过上传.sql文件利用该漏洞执行任意SQL命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/wp-advanced-search/#developers
2. Apache Kylin 操作系统命令注入漏洞(CNNVD-202005-1133)
Apache Kylin是美国阿帕奇(Apache)软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。
Apache Kylin中的静态API存在安全漏洞。攻击者可借助特制输入利用该漏洞在系统上执行任意OS命令。以下产品及版本受到影响:Apache Kylin 2.3.0版本至2.3.2版本,2.4.0版本至2.4.1版本,2.5.0版本至2.5.2版本,2.6.0版本至2.6.5版本,3.0.0-alpha版本,3.0.0-alpha2版本,3.0.0-beta版本,3.0.0版本,3.0.1版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread.html/r1332ef34cf8e2c0589cf44ad269fb1fb4c06addec6297f0320f5111d%40%3Cuser.kylin.apache.org%3E
3. Microsoft SharePoint 代码问题漏洞(CNNVD-202005-561)
Microsoft SharePoint是美国微软(Microsoft)公司的一套企业业务协作平台。该平台用于对业务信息进行整合,并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。
Microsoft SharePoint Enterprise Server 2016和Microsoft SharePointServer 2019中存在远程代码执行漏洞。攻击者可通过诱使用户上传特制的SharePoint应用程序包利用该漏洞在SharePoint应用程序池和SharePoint服务器场帐户的上下文中运行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1102
4. MicrosoftWindows Media Foundation 缓冲区错误漏洞(CNNVD-202005-606)
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。Media Foundation是其中的一个多媒体开发库。
Microsoft Windows Media Foundation中存在安全漏洞,该漏洞源于程序没有正确处理内存中对象。攻击者可借助特制文档利用该漏洞安装程序,查看、更改或删除数据或创建具有全部用户权限的账户。以下产品及版本受到影响:Microsoft Windows Server2016,WindowsServer 2019,Windows10 1607版本,Windows10 1709版本,Windows10 1803版本,Windows10 1809版本,Windows10 1903版本,Windows10 1909版本,WindowsServer 1803版本,WindowsServer 1903版本,WindowsServer 1909版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1126
5. Dell EMC RSAArcher 跨站请求伪造漏洞(CNNVD-202005-050)
Dell EMC RSA Archer是美国戴尔(Dell)公司的一款企业IT治理和合规治理产品。该产品可以制定eGRC计划,用于管理企业风险、实现业务流程自动化等。
Dell EMC RSA Archer 6.7 P2 (6.7.0.2)之前版本中存在跨站请求伪造漏洞。远程攻击者可通过诱使用户向该受影响的应用程序发送任意请求利用该漏洞以用户权限执行服务器端操作。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.dell.com/support/security/en-us/details/DOC-111112/DSA-2020-049-RSA-Archer-Security-Update-for-Multiple-Vulnerabilities
6. Red HatKeycloak 授权问题漏洞(CNNVD-202005-638)
Red Hat Keycloak是美国红帽(Red Hat)公司的一套为现代应用和服务提供身份验证和管理功能的软件。
Red Hat Keycloak 8.0.0之前版本中存在授权问题漏洞。远程攻击者可通过发送特制请求利用该漏洞绕过限制并访问应用程序。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bugzilla.redhat.com/show_bug.cgi?id=1796756
7. MicrosoftVisual Studio Code 输入验证错误漏洞(CNNVD-202005-646)
Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。
Microsoft Visual Studio Code中Python扩展加载配置文件的过程存在远程代码执行漏洞。攻击者可通过诱使用户复制资源库并在Visual Studio Code中将其打开利用该漏洞在当前用户的上下文中运行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1171
8. Adobe Acrobat和Reader 资源管理错误漏洞(CNNVD-202005-528)
Adobe Acrobat和Reader都是美国奥多比(Adobe)公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。
基于Windows和macOS平台的Adobe Acrobat和Reader中存在资源管理错误漏洞。攻击者可利用该漏洞执行任意代码。以下产品及版本受到影响:Adobe Acrobat DC(Continuous)2020.006.20042及之前版本,Acrobat 2017(Classic 2017)2017.011.30166及之前版本,Acrobat 2015(Classic 2015)2015.006.30518及之前版本;Acrobat Reader DC(Continuous)2020.006.20042及之前版本,Acrobat Reader 2017(Classic 2017)2017.011.30166及之前版本,Acrobat Reader 2015(Classic 2015)2015.006.30518及之前版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://helpx.adobe.com/security/products/acrobat/apsb20-24.html
二、接报漏洞情况
本月接报漏洞16377个,其中信息技术产品漏洞(通用型漏洞)201个,网络信息系统漏洞(事件型漏洞)16176个。
表7 2020年5月漏洞接报情况
序号 | 报送单位 | 漏洞总量 |
1 | 网神信息技术(北京)股份有限公司 | 10416 |
2 | 上海斗象信息科技有限公司 | 4707 |
3 | 长春嘉诚信息技术股份有限公司 | 499 |
4 | 北京华云安信息技术有限公司 | 82 |
5 | 深圳开源互联网安全技术有限公司 | 73 |
6 | 西安四叶草信息技术有限公司 | 59 |
7 | 杭州海康威视数字技术股份有限公司 | 57 |
8 | 北京赋云安运营科技有限公司 | 52 |
9 | 山东新潮信息技术有限公司 | 50 |
10 | 安徽华云网安信息技术有限公司 | 48 |
11 | 内蒙古奥创科技有限公司 | 42 |
12 | 杭州默安科技有限公司 | 37 |
13 | 太极计算机股份有限公司 | 37 |
14 | 星云博创科技有限公司 | 34 |
15 | 广州锦行网络科技有限公司 | 20 |
16 | 远江盛邦(北京)网络安全科技股份有限公司 | 20 |
17 | 中兴通讯 | 17 |
18 | 北京数字观星科技有限公司 | 14 |
19 | 绿盟科技集团股份有限公司安全研究部 | 14 |
20 | 上海谋乐网络科技有限公司 | 11 |
21 | 北京圣博润高新技术股份有限公司 | 10 |
22 | 北京奇虎科技有限公司 | 10 |
23 | 杭州安恒信息技术股份有限公司 | 9 |
24 | 浙江宇视科技有限公司 | 9 |
25 | 中国信息安全测评中心华中测评中心(湖南省信息安全测评中心) | 6 |
26 | 北京智游网安科技有限公司 | 5 |
27 | 上海银基信息安全技术股份有限公司 | 5 |
28 | 北京江南天安科技有限公司 | 4 |
29 | 北京中金安服科技有限公司 | 4 |
30 | 上海安识网络科技有限公司 | 4 |
31 | 个人 | 3 |
32 | 郑州大学 | 2 |
33 | 北京长亭科技有限公司 | 2 |
34 | 北京天融信网络安全技术有限公司 | 2 |
35 | 山东泽鹿安全技术有限公司 | 2 |
36 | 北京恒济引航科技股份有限公司 | 1 |
37 | 北京启明星辰信息安全技术有限公司 | 1 |
38 | 北京威努特技术有限公司 | 1 |
39 | 北京邮电大学 | 1 |
40 | 广西壮族自治区信息安全测评中心 | 1 |
41 | 河南听潮盛世信息技术有限公司 | 1 |
42 | 美国印第安纳大学伯明顿分校,中国科学院信息工程研究所 | 1 |
43 | 南京中新赛克科技有限责任公司 | 1 |
44 | 天津市兴先道科技有限公司 | 1 |
45 | 安全邦(北京)信息技术有限公司 | 1 |
46 | 掌控安全 | 1 |
报送总计 | 16377 | |
三、重大漏洞预警
3.1微软多个安全漏洞的预警
近日,微软官方发布了多个安全漏洞的公告,包括MicrosoftSharePoint 安全漏洞(CNNVD-202005-567、CVE-2020-1024)、MicrosoftExcel 安全漏洞(CNNVD-202005-555、CVE-2020-0901)、InternetExplorer 内存损坏漏洞(CNNVD-202005-549、CVE-2020-1062)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞简介
2020年5月13日,微软发布2020年5月份安全更新,共111个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新涵盖了Microsoft Windows、Internet Explorer、Office、SahrePoint、Win32k等多个Windows平台下应用软件和组件。微软多个产品和系统版本受漏洞影响,具体影响范围可访问https://portal.msrc.microsoft.com/zh-cn/security-guidance查询,其中部分重要漏洞详情如下:
1、Microsoft SharePoint安全漏洞(CNNVD-202005-567、CVE-2020-1024)(CNNVD-202005-565、CVE-2020-1069)(CNNVD-202005-566、CVE-2020-1023)(CNNVD-202005-561、CVE-2020-1102)
漏洞简介:当软件无法检查应用程序包的源标记时,Microsoft SharePoint会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在 SharePoint 应用程序池和 SharePoint 服务器场帐户的上下文中运行任意代码。攻击者必须诱使用户将经过特殊设计的 SharePoint 应用程序包上传到受影响版本的 SharePoint,才能利用此漏洞。
2、Microsoft Windows GraphicsComponents 安全漏洞(CNNVD-202005-613、CVE-2020-1153)
漏洞简介:Microsoft 图形组件在内存中处理对象的方式中存在远程代码执行漏洞。成功利用该漏洞的攻击者可以对目标系统执行任意代码。若要利用该漏洞,攻击者需要诱使用户打开一个特制的文件。
3、Microsoft Windows和Windows Server 安全漏洞(CNNVD-202005-585、CVE-2020-1166)、(CNNVD-202005-583、CVE-2020-1165)
漏洞简介:当 Windows 不正确地处理对剪贴板服务的调用时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在本地系统的安全上下文中运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
4、MicrosoftEdge PDF Reader 安全漏洞(CNNVD-202005-540、CVE-2020-1096)(CNNVD-202004-694、CVE-2020-0906)
漏洞简介:当 Microsoft Edge PDF 阅读器不正确地处理内存中的对象时,存在远程代码执行漏洞。该漏洞可能以一种使攻击者可以在当前用户的环境中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
5、Microsoft Excel 资源管理错误漏洞(CNNVD-202005-555、CVE-2020-0901)
漏洞简介:当 Microsoft Excel 软件无法正确处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在当前用户的上下文中运行任意代码。如果当前用户使用管理员用户权限登录,攻击者就可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理员权限的用户相比,帐户被配置为拥有较少权限的用户受到的影响更小。
6、Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549、CVE-2020-1062)
漏洞简介:当 Internet Explorer 不正确地访问内存中的对象时,会触发远程代码执行漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,那么攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
7、Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582、CVE-2020-1174)
(CNNVD-202005-581、CVE-2020-1175)(CNNVD-202005-580、CVE-2020-1176)
漏洞简介:当 Windows Jet 数据库引擎不正确地处理内存中的对象时,会触发远程代码执行漏洞。成功利用此漏洞的攻击者可以在受害者系统上执行任意代码。
8、Microsoft InternetExplorer VBScript Engine 安全漏洞(CNNVD-202005-553、CVE-2020-1035)(CNNVD-202005-550、CVE-2020-1060)(CNNVD-202005-545、CVE-2020-1093)(CNNVD-202005-569、CVE-2020-1058)
漏洞简介:VBScript 引擎处理内存中对象的方式中存在远程代码执行漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式损坏内存。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理员用户权限登录,攻击者便可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方链接地址如下:
序号 | 漏洞名称 | 官方链接 |
1 | Microsoft SharePoint安全漏洞(CNNVD-202005-567、CVE-2020-1024)(CNNVD-202005-565、CVE-2020-1069)(CNNVD-202005-566、CVE-2020-1023)(CNNVD-202005-561、CVE-2020-1102) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1024 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1069 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1023 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1102 |
2 | Microsoft Windows Graphics Components 安全漏洞(CNNVD-202005-613、CVE-2020-1153) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1153 |
3 | Microsoft Windows和Windows Server 安全漏洞(CNNVD-202005-585、CVE-2020-1166)、(CNNVD-202005-583、CVE-2020-1165) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1166 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1165 |
4 | Microsoft Edge PDF Reader 安全漏洞(CNNVD-202005-540、CVE-2020-1096)(CNNVD-202004-694、CVE-2020-0906) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1096 |
5 | Microsoft Excel 资源管理错误漏洞(CNNVD-202005-555、CVE-2020-0901) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0901 |
6 | Microsoft Internet Explorer 安全漏洞(CNNVD-202005-549、CVE-2020-1062) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1062 |
7 | Microsoft Windows Jet Database Engine 安全漏洞(CNNVD-202005-582、CVE-2020-1174) (CNNVD-202005-581、CVE-2020-1175)(CNNVD-202005-580、CVE-2020-1176) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1174 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1175 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1176 |
8 | Microsoft Internet Explorer VBScript Engine 安全漏洞(CNNVD-202005-553、CVE-2020-1035)(CNNVD-202005-550、CVE-2020-1060)(CNNVD-202005-545、CVE-2020-1093)(CNNVD-202005-569、CVE-2020-1058) | https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0907 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0687 |
扫一扫
673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
