漏洞信息月度通报2021年第2期-内蒙古电子信息学院信息中心

网络信息安全

漏洞信息月度通报2021年第2期

时间： 2021-03-01 00:00 点击：

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞1385个，其中高危漏洞562个，中危漏洞670个，低危漏洞153个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有950个。

1.本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Google多款产品存在安全漏洞	CNVD编号	CNVD-2021-09482、CNVD-2021-09486 CNVD-2021-09485、CNVD-2021-09487 CNVD-2021-09904、CNVD-2021-09908 CNVD-2021-10540、CNVD-2021-12818 CNVD-2021-12817、CNVD-2021-12816	本月，Google多款产品存在安全漏洞。攻击者可利用漏洞提升权限，导致拒绝服务等。本月漏洞包括：Google Android Framework权限提升漏洞（CNVD-2021-09482、CNVD-2021-09486、CNVD-2021-09485、CNVD-2021-09487）、Google Android Framework拒绝服务漏洞（CNVD-2021-10540）、Google Android VPU权限提升漏洞（CNVD-2021-09904、CNVD-2021-09908）、Google Android Kernel组件权限提升漏洞（CNVD-2021-12818、CNVD-2021-12817、CNVD-2021-12816）等。




		其他编号	CVE-2021-0318、CVE-2021-0307 CVE-2021-0310、CVE-2021-0306 CVE-2021-0348、CVE-2021-0346 CVE-2021-0313、CVE-2020-0444 CVE-2020-0465、CVE-2020-0466




		发布时间	2021/02/05
		影响产品	Google Android







2	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2021-07932、CNVD-2021-11355 CNVD-2021-11360、CNVD-2021-11359 CNVD-2021-11358、CNVD-2021-11357 CNVD-2021-11364、CNVD-2021-11362 CNVD-2021-11365、CNVD-2021-13223	本月，IBM多款产品存在安全漏洞。攻击者可利用漏洞提升权限，获取敏感信息，导致拒绝服务等。本月漏洞包括：IBM Security Guardium不当访问控制漏洞、IBM Security Verify Information Queue信息泄露漏洞（CNVD-2021-11355、CNVD-2021-11362、CNVD-2021-11360）、IBM Security Verify Information Queue弱加密算法漏洞、IBM Security Verify Information Queue权限提升漏洞、IBM Security Verify Information Queue拒绝服务漏洞、IBM Security Verify Information Queue会话固定漏洞、IBM Security Verify Information Queue硬编码凭据漏洞、IBM API Connect跨站脚本执行漏洞等。




		其他编号	CVE-2020-4952、CVE-2021-20402 CVE-2021-20407、CVE-2021-20406 CVE-2021-20405、CVE-2021-20404 CVE-2021-20411、CVE-2021-20409 CVE-2021-20412、CVE-2021-4838




		发布时间	2021/02/22
		影响产品	IBM Security Guardium IBM Security Verify Information Queue IBM API Connect















3	Microsoft多款产品存在安全漏洞	CNVD编号	CNVD-2021-08831、CNVD-2021-08830 CNVD-2021-08829、CNVD-2021-08834 CNVD-2021-08838、CNVD-2021-10528 CNVD-2021-10529、CNVD-2021-11031 CNVD-2021-11039、CNVD-2021-11040	本月，Microsoft多款产品存在安全漏洞。攻击者可以利用漏洞提升权限，执行任意代码，导致目标主机发生蓝屏等。本月漏洞包括：Microsoft Windows内核映像权限提升漏洞、Microsoft Windows内核模式驱动程序权限提升漏洞、Microsoft Windows Hyper-V权限提升漏洞（CNVD-2021-08829）、Microsoft Windows Hyper-V远程代码执行漏洞（CNVD-2021-08834）、Microsoft Windows TCP/IP远程执行代码漏洞、Microsoft Windows TCP/IP拒绝服务漏洞、Microsoft Word远程代码执行漏洞（CNVD-2021-11031）、Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-08838、CNVD-2021-11039、CNVD-2021-11040）等。




		其他编号	CVE-2020-16892、CVE-2020-16913 CVE-2020-1047、CVE-2020-16891 CVE-2020-16916、CVE-2021-24074 CVE-2021-24086、CVE-2021-1715 CVE-2020-16935、CVE-2020-16976




		发布时间	2021/02/03
		影响产品	Microsoft Windows Server 2012 Microsoft Windows 8.1 Microsoft Windows RT 8.1 Microsoft Windows 10 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server Microsoft Windows Server 2008 Microsoft Windows 7 Microsoft Windows Server 20H2 Microsoft Office Web Apps 2010 Microsoft SharePoint Server 2010 Microsoft Word 2010 Microsoft Office 2010 Microsoft Word 2013 Microsoft Office Web Apps Server 2013 Microsoft Word 2016 Microsoft Office Online Server Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2013 Microsoft Office 2019 Microsoft Office 2019 for Mac Microsoft SharePoint Server 2019 Microsoft 365 Apps for Enterprise







4	Cisco多款产品存在安全漏洞	CNVD编号	CNVD-2021-09297、CNVD-2021-09296 CNVD-2021-09935、CNVD-2021-09934 CNVD-2021-09933、CNVD-2021-09937 CNVD-2021-09936、CNVD-2021-12828 CNVD-2021-13218、CNVD-2021-13217	本月，Cisco多款产品存在安全漏洞。攻击者可利用漏洞执行任意命令，导致拒绝服务，泄露内存等。本月漏洞包括：Cisco IOS XR拒绝服务漏洞（CNVD-2021-09297、CNVD-2021-09296）、Cisco Smart Software Manager Satellite Web UI命令注入漏洞（CNVD-2021-09935、CNVD-2021-09937、CNVD-2021-09934、CNVD-2021-09933、CNVD-2021-09936）、Cisco Application Services Engine未授权访问漏洞、Cisco NX-OS拒绝服务漏洞（CNVD-2021-13218）、Cisco NX-OS跨站请求伪造漏洞等。




		其他编号	CVE-2021-1288、CVE-2021-1313 CVE-2021-1140、CVE-2021-1141 CVE-2021-1138、CVE-2021-1139 CVE-2021-1142、CVE-2021-1393 CVE-2021-1387、CVE-2021-1227




		发布时间	2021/02/08
		影响产品	Cisco IOS XR Cisco Smart Software Manager Satellite Cisco Application Services Engine Cisco NX-OS
5	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2021-11019、CNVD-2021-11018 CNVD-2021-11017、CNVD-2021-11016 CNVD-2021-11022、CNVD-2021-11021 CNVD-2021-11020、CNVD-2021-11023 CNVD-2021-11286、CNVD-2021-11285	本月，Adobe多款产品存在安全漏洞。攻击者可利用漏洞执行任意代码。本月漏洞包括：Adobe Photoshop越界写入漏洞（CNVD-2021-11019）、Adobe Photoshop越界读取漏洞（CNVD-2021-11022、CNVD-2021-11023）、Adobe Photoshop缓冲区溢出漏洞（CNVD-2021-11021、CNVD-2021-11020）、Adobe Animate越界写入漏洞、Adobe Illustrator越界写入漏洞（CNVD-2021-11016、CNVD-2021-11017）、多款Adobe产品缓冲区溢出漏洞（CNVD-2021-11286、CNVD-2021-11285）等。




		其他编号	CVE-2021-21047、CVE-2021-21052 CVE-2021-21053、CVE-2021-21054 CVE-2021-21050、CVE-2021-21048 CVE-2021-21051、CVE-2021-21049 CVE-2021-21059、CVE-2021-21062




		发布时间	2021/02/19
		影响产品	Adobe Photoshop 2020 Adobe Photoshop 2021 Adobe Animate Adobe Illustrator 2021 Adobe Acrobat DC（Continuous） Adobe Acrobat Reader DC（Continuous） Adobe Acrobat 2020 (Classic 2020) Adobe Acrobat Reader 2020 (Classic 2020) Adobe Acrobat 2017（Classic 2017） Adobe Acrobat Reader 2017（Classic 2017）
6	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2021-11826、CNVD-2021-11824 CNVD-2021-11823、CNVD-2021-11829 CNVD-2021-11828、CNVD-2021-11834 CNVD-2021-11833、CNVD-2021-11832 CNVD-2021-11835、CNVD-2021-12078	本月，Siemens多款产品存在安全漏洞。攻击者可利用漏洞提升权限，执行任意代码，创建或覆盖任意文件等。本月漏洞包括：Siemens JT2Go和Teamcenter Visualization不可信指针取消引用漏洞、Siemens JT2Go和Teamcenter Visualization越界写入漏洞、Siemens JT2Go和Teamcenter Visualization内存破坏漏洞（CNVD-2021-11823、CNVD-2021-11829）、Siemens JT2Go和Teamcenter Visualization堆栈缓冲区溢出漏洞、Siemens Nucleus NET可预测初始序列漏洞、Siemens TIA Administrator权限提升漏洞、Siemens DIGSI 4权限提升漏洞、Siemens SINEMA Server和SINE CNMS目录遍历漏洞、Siemens SIMARIS configuration不安全文件夹权限漏洞等。




		其他编号	CVE-2020-27003、CVE-2020-27005 CVE-2020-27006、CVE-2020-27000 CVE-2020-27001、CVE-2020-28388 CVE-2020-25238、CVE-2020-25245 CVE-2020-25237、CVE-2020-28392




		发布时间	2021/02/22
		影响产品	SIEMENS JT2Go SIEMENS Teamcenter Visualization Siemens Nucleus NET Siemens Nucleus ReadyStart for ARM，MIPS，and PPC Siemens TIA Portal Siemens PCS neo (Administration Console) Siemens TIA Portal SIEMENS DIGSI 4 Siemens SINEC NMS Siemens SINEMA Server Siemens SIMARIS configuration
7	Apache多款产品存在安全漏洞	CNVD编号	CNVD-2021-08887、CNVD-2021-11837 CNVD-2021-11841、CNVD-2021-11839 CNVD-2021-11846、CNVD-2021-11845 CNVD-2021-11844、CNVD-2021-11847 CNVD-2021-11849、CNVD-2021-13225	本月，Apache多款产品存在安全漏洞。攻击者可利用漏洞获取敏感信息，执行任意代码，破坏内存等。本月漏洞包括：Apache Nutch XML外部实体注入漏洞、Apache ActiveMQ跨站脚本漏洞（CNVD-2021-11837）、Apache Tomcat信息泄露漏洞（CNVD-2021-11841）、Apache Servicecomb Java Chassis输入验证错误漏洞、Apache Traffic Server信息泄露漏洞、Apache Airflow跨站脚本漏洞（CNVD-2021-11845）、Apache NuttX TCP栈越界写入漏洞、Apache Traffic Server敏感信息泄露漏洞、Apache Unomi远程代码执行漏洞、Apache MyFaces跨站请求伪造漏洞等。




		其他编号	CVE-2021-23901、CVE-2020-13947 CVE-2021-24122、CVE-2020-17532 CVE-2020-17508、CVE-2020-17515 CVE-2020-17529、CVE-2020-17509 CVE-2020-13942、CVE-2021-26296




		发布时间	2021/02/23
		影响产品	Apache Nutch Apache ActiveMQ Apache Tomcat Apache Servicecomb Java Chassis Apache Traffic Server Apache Airflow Apache NuttX Apache Unomi Apache MyFaces
8	Oracle多款产品存在安全漏洞	CNVD编号	CNVD-2021-08013、CNVD-2021-08445 CNVD-2021-08444、CNVD-2021-08448 CNVD-2021-08447、CNVD-2021-08452 CNVD-2021-08451、CNVD-2021-08450 CNVD-2021-08449、CNVD-2021-08455	本月，Oracle多款产品存在安全漏洞。攻击者可利用漏洞影响机密性和完整性等。本月漏洞包括：Oracle Fusion Middleware Coherence授权问题漏洞、Oracle E-Business Suite授权问题漏洞（CNVD-2021-08445、CNVD-2021-08444、CNVD-2021-08448、CNVD-2021-08447、CNVD-2021-08452、CNVD-2021-08451、CNVD-2021-08450、CNVD-2021-08449、CNVD-2021-08455）等。




		其他编号	CVE-2020-14756、CVE-2021-2015 CVE-2021-2017、CVE-2021-2082 CVE-2021-2096、CVE-2021-2090 CVE-2021-2098、CVE-2021-2089 CVE-2021-2077、CVE-2021-2105




		发布时间	2021/02/02
		影响产品	Oracle Coherence Oracle Workflow Oracle User Management Oracle iStore Oracle Email Center Oracle Customer Interaction History

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）和智能设备（物联网终端设备）漏洞。不同类型漏洞的分布如图1所示，本月应用程序占比例较大。与前12个月相比，本月网络设备（交换机、路由器等网络端设备）、安全产品、智能设备（物联网终端设备）的数量处于高位，操作系统、应用程序、WEB应用、数据库漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	Apache Shiro访问控制错误漏洞	CNVD-2021-09492	2021/2/6
2	Oracle Business Intelligence Enterprise Edition信息泄露漏洞	CNVD-2021-08012	2021/2/1
3	重庆逐越光电科技有限公司WMCMS存在代码执行漏洞（CNVD-2020-75026）	CNVD-2020-75026	2021/2/7
4	北京尚网汇智科技有限公司建站系统存在SQL注入漏洞	CNVD-2020-73491	2021/2/1
5	QNAP Systems Helpdesk访问控制错误漏洞	CNVD-2021-09493	2021/2/6

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是ApacheShiro访问控制错误漏洞，其访问量达到119次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞1385个，与前12个月平均收录数量1693个相比，处于低位；本月高危漏洞562个，与前12个月高危漏洞平均收录数量594个相比，处于低位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月26日发布的安全漏洞数量最多，都高达244个，主要是因为收录了广东凯格科技有限公司、北京搜狐互联网信息服务有限公司等多款产品存在的多个漏洞。

2.单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京天融信网络安全技术有限公司、哈尔滨安天科技集团股份有限公司、华为技术有限公司、北京神州绿盟科技有限公司、新华三技术有限公司等单位报送公开收集的漏洞数量较多。南京众智维信息科技有限公司、山东云天安全技术有限公司、上海犀点意象网络科技有限公司、北京山石网科信息技术有限公司、安徽长泰信息安全服务有限公司、国瑞数码零点实验室、北京天地和兴科技有限公司、河南灵创电子科技有限公司、北京华云安信息技术有限公司、山东新潮信息技术有限公司、山东华鲁科技发展股份有限公司、河南信安世纪科技有限公司、远江盛邦（北京）网络安全科技股份有限公司、泽鹿安全、西安交大捷普网络科技有限公司、贵州多彩宝互联网服务有限公司、山石网科通信技术股份有限公司、西门子（中国）有限公司、京东云安全、杭州迪普科技股份有限公司、重庆贝特计算机系统工程有限公司、上海纽盾科技股份有限公司、杭州海康威视数字技术股份有限公司、江苏保旺达软件技术有限公司、小安（北京）科技有限公司、北京顶象技术有限公司、北京惠而特科技有限公司、北京云科安信科技有限公司（Seraph安全实验室）、广州市蓝爵计算机科技有限公司、星云博创科技有限公司、新疆海狼科技有限公司、北京信联科汇科技有限公司、杭州安信检测技术有限公司、北京远禾科技有限公司、武汉明嘉信信息安全检测评估有限公司、上海观安信息技术股份有限公司、北京君云天下科技有限公司、北京零零信安科技有限公司、北京国舜科技股份有限公司、深圳市魔方安全科技有限公司、北京时代新威信息技术有限公司、北京长亭科技有限公司、杭州天谷信息科技有限公司、广州安亿信软件科技有限公司、奇安信科技集团股份有限公司、北京圣博润高新技术股份有限公司、上海崤函信息科技有限公司、内蒙古奥创科技有限公司、海南神州希望网路有限公司、平安银河实验室、国网山东省电力公司、郑州云智信安安全技术有限公司、广西等保安全测评有限公司、中国工商银行软件开发中心、神州网安（北京）信息科技有限公司、广西塔易信息技术有限公司、上海市信息安全测评认证中心、信联科技（南京）有限公司、上海匡创信息技术有限公司、福建省海峡信息技术有限公司、北京时代新威信息技术有限公司、北京机沃科技有限公司、北京明朝万达科技股份有限公司、北京智游网安科技有限公司、吉林谛听信息技术有限公司、工业信息安全(四川)创新中心有限公司、北京小米科技有限责任公司、北京瑆逸海阔科技有限公司、广东东福信息技术有限公司及其他个人白帽子向CNVD提交了15300个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）和上海交大向CNVD共享的白帽子报送的10567条原创漏洞信息。

单位或个人	漏洞上报总数	原创漏洞数量
斗象科技（漏洞盒子）	5267	5267
上海交大	3474	3474
奇安信网神（补天平台）	1826	1826
北京天融信网络安全技术有限公司	736	12
哈尔滨安天科技集团股份有限公司	655	0
华为技术有限公司	421	0
北京神州绿盟科技有限公司	327	39
新华三技术有限公司	282	0
深信服科技股份有限公司	261	0
北京启明星辰信息安全技术有限公司	232	3
中国电信集团系统集成有限责任公司	152	152
北京数字观星科技有限公司	144	0
北京奇虎科技有限公司	127	111
北京华顺信安科技有限公司	108	0
中国电信股份有限公司网络安全产品运营中心	60	0
西安四叶草信息技术有限公司	28	28
北京知道创宇信息技术股份有限公司	13	0
恒安嘉新(北京)科技股份公司	7	3
南京众智维信息科技有限公司	479	479
山东云天安全技术有限公司	422	422
上海犀点意象网络科技有限公司	400	400
北京山石网科信息技术有限公司	265	265
安徽长泰信息安全服务有限公司	197	197
国瑞数码零点实验室	149	149
北京天地和兴科技有限公司	140	140
河南灵创电子科技有限公司	128	128
北京华云安信息技术有限公司	93	93
山东新潮信息技术有限公司	86	86
山东华鲁科技发展股份有限公司	68	68
河南信安世纪科技有限公司	62	62
远江盛邦（北京）网络安全科技股份有限公司	41	41
泽鹿安全	33	33
西安交大捷普网络科技有限公司	30	30
贵州多彩宝互联网服务有限公司	26	26
山石网科通信技术股份有限公司	24	24
西门子（中国）有限公司	24	0
京东云安全	21	21
杭州迪普科技股份有限公司	21	0
重庆贝特计算机系统工程有限公司	20	20
上海纽盾科技股份有限公司	15	15
杭州海康威视数字技术股份有限公司	15	15
江苏保旺达软件技术有限公司	13	13
小安（北京）科技有限公司	11	11
北京顶象技术有限公司	11	11
北京惠而特科技有限公司	9	9
北京云科安信科技有限公司（Seraph安全实验室）	9	9
广州市蓝爵计算机科技有限公司	9	9
星云博创科技有限公司	9	9
新疆海狼科技有限公司	8	8
北京信联科汇科技有限公司	8	8
杭州安信检测技术有限公司	8	8
北京远禾科技有限公司	8	8
武汉明嘉信信息安全检测评估有限公司	7	7
上海观安信息技术股份有限公司	7	7
北京君云天下科技有限公司	7	7
北京零零信安科技有限公司	6	6
北京国舜科技股份有限公司	6	6
深圳市魔方安全科技有限公司	5	5
北京时代新威信息技术有限公司	5	5
北京长亭科技有限公司	5	5
杭州天谷信息科技有限公司	5	5
广州安亿信软件科技有限公司	4	4
奇安信科技集团股份有限公司	4	4
北京圣博润高新技术股份有限公司	4	4
上海崤函信息科技有限公司	4	4
内蒙古奥创科技有限公司	3	3
海南神州希望网路有限公司	3	3
平安银河实验室	3	3
国网山东省电力公司	3	3
郑州云智信安安全技术有限公司	3	3
广西等保安全测评有限公司	3	3
中国工商银行软件开发中心	3	3
神州网安（北京）信息科技有限公司	3	3
广西塔易信息技术有限公司	2	2
上海市信息安全测评认证中心	2	2
信联科技（南京）有限公司	2	2
上海匡创信息技术有限公司	2	2
福建省海峡信息技术有限公司	1	1
北京时代新威信息技术有限公司	1	1
北京机沃科技有限公司	1	1
北京明朝万达科技股份有限公司	1	1
北京智游网安科技有限公司	1	1
吉林谛听信息技术有限公司	1	1
工业信息安全(四川)创新中心有限公司	1	1
北京小米科技有限责任公司	1	1
北京瑆逸海阔科技有限公司	1	1
广东东福信息技术有限公司	1	1
个人	1457	1457
总计	1385（去重）	15300

表3 单位和个人上报漏洞统计