移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/

图7 电信行业漏洞统计

图8 移动互联网行业漏洞统计

图9 工控系统行业漏洞统计

本周重要漏洞安全警报

本周，CNVD 整理并发布了以下重要安全漏洞信息。

1、Oracle产品安全漏洞

Oracle电子商务套件是在原有应用程序（ERP）的基础上进行的扩展，包括ERP（企业资源计划管理）、HR（人力资源管理）、CRM（客户关系管理）等管理软件的集合。 无缝集成到一套管理套件中。 Oracle应用程序框架是Oracle公司开发的专有框架，用于Oracle电子商务套件（Oracle E-Business Suite）中的应用程序开发。 Oracle Universal Work Queue 是一种灵活的工作演示和访问工具，可提供集中的工作视图和访问。 Oracle Sales Offline是离线销售管理软件之一。 Oracle Incentive Compensation是全球可变薪酬管理软件之一，可以自动为员工和合作伙伴设计、管理和分析基于激励的薪酬计划0day安全:软件漏洞分析技术(第2版)，从而有效促进企业目标的实现。 Oracle Trade Management 是支持迭代销售模型的销售应用程序之一。 Oracle 应用管理器 (OAM) 允许管理员从 HTML 控制台管理 Oracle E-Business Suite 系统。 本周，上述产品中披露了多个漏洞，这些漏洞可能允许攻击者获得对 Oracle Trade Management 可访问的数据子集的未经授权的读取访问权限，以及对 Oracle Applications Manager 可访问的某些数据的未经授权的访问权限。 更新、插入或删除访问，导致Oracle应用框架部分拒绝服务（部分DOS）等。

CNVD 中包含的相关漏洞包括：Oracle E-Business Suite 拒绝服务漏洞（CNVD-2022-02347、CNVD-2022-02348）、Oracle E-Business Suite 未经授权的访问漏洞（CNVD-2022-02349、CNVD-2022-02351） 、CNVD-2022-02350、CNVD-2022-02353、CNVD-2022-02352、CNVD-2022-02357）。 其中，“Oracle E-Business Suite未经授权访问漏洞（CNVD-2022-02349、CNVD-2022-02357）”的总体评级为“高风险”。 目前，厂商已经针对上述漏洞发布了补丁。 CNVD提醒用户及时下载补丁更新，避免与漏洞相关的网络安全事件。

参考链接：

2. Adob​​e产品安全漏洞

Adobe Dimension 是美国 Adob​​e 公司的一套 2D 和 3D 合成设计工具。 Adobe Prelude是美国Adobe公司出品的一套视频素材剪辑编辑工具。 该产品可以对视频素材进行编辑、排序和注释。 本周，上述产品中披露了多个漏洞，攻击者可利用这些漏洞在当前用户的上下文中执行任意代码，从而导致敏感内存泄漏。

CNVD 中包含的相关漏洞包括：Adobe Dimension 内存损坏漏洞、Adobe Dimension 越界读取漏洞（CNVD-2022-02631、CNVD-2022-02635、CNVD-2022-02636）、Adobe Dimension 越界写入漏洞漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude 内存损坏漏洞（CNVD-2022-02637、CNVD-2022-02638）。 其中，综合了“Adobe Dimension 内存损坏漏洞、Adobe Dimension 越界写入漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude 内存损坏漏洞（CNVD-2022-02637、CNVD- 2022-02638)”评级为“高风险”。 目前0day安全:软件漏洞分析技术(第2版)，厂商已经针对上述漏洞发布了补丁。 CNVD提醒用户及时下载补丁更新，避免与漏洞相关的网络安全事件。

参考链接：

3. Apache产品安全漏洞

Apache Kylin 是美国 Apache 基金会的开源分布式分析数据仓库。 该产品主要提供Hadoop/Spark上的SQL查询接口、多维分析（OLAP）等功能。 Apache Avro 是美国 Apache 基金会的数据序列化系统。 为Apache Hadoop提供数据序列化和数据交换服务。 Apache HTTP Server 是美国 Apache 基金会的开源 Web 服务器。 该服务器快速、可靠且可通过简单的 API 进行扩展。 Apache NiFi是美国Apache基金会的数据处理和分发系统。 该系统主要用于数据路由、转换和系统中介逻辑。 本周，上述产品被披露存在多个漏洞。 攻击者可以利用这些漏洞检测服务器内网资源，分配过多资源，造成拒绝服务，并在Kylin服务器进程中执行黑客控制的恶意MySQL服务器中的任意代码。

CNVD 包含的相关漏洞包括：Apache Kylin 输入验证错误漏洞、Apache Kylin 操作系统命令注入漏洞、Apache Kylin 服务器请求伪造漏洞、Apache Kylin 权限和访问控制问题漏洞、Apache Avro 资源管理错误漏洞、Apache HTTP Server 目录遍历漏洞漏洞、Apache NiFi 操作系统命令注入漏洞、Apache HTTP Server ap_escape_quotes 缓冲区溢出漏洞。 上述漏洞总体评级为“高风险”。 目前，厂商已经针对上述漏洞发布了补丁。 CNVD提醒用户及时下载补丁更新，避免与漏洞相关的网络安全事件。

参考链接：

4. Trendnet产品的安全漏洞

Trendnet AC2600 TEW-827DRU 是一款无线路由器。 本周，上述产品中披露了多个漏洞，攻击者可以通过这些漏洞强制更改管理员密码、通过Bittorent Web客户端访问和修改设置和文件、提供格式错误的参数以root用户身份注入命令等。

CNVD中包含的相关漏洞包括：Trendnet AC2600 TEW-827DRU身份验证绕过漏洞、Trendnet AC2600 TEW-827DRU访问控制错误漏洞、Trendnet AC2600 TEW-827DRU数据伪造问题漏洞、Trendnet AC2600 TEW-827DRU命令注入漏洞（CNVD-2022 -03198） ，CNVD-2022-03200）、Trendnet AC2600 TEW-827DRU 信任管理问题漏洞、Trendnet AC2600 TEW-827DRU 拒绝服务漏洞、Trendnet AC2600 TEW-827DRU 加密问题漏洞。 除“Trendnet AC2600 TEW-827DRU访问控制错误漏洞和Trendnet AC2600 TEW-827DRU数据伪造问题漏洞”外，其余漏洞总体评级为“高危”。 目前，厂商已经针对上述漏洞发布了补丁。 CNVD提醒用户及时下载补丁更新，避免与漏洞相关的网络安全事件。

参考链接：

5. Google Chrome越界写入漏洞（CNVD-2022-02736）

Google Chrome 是美国谷歌公司推出的网络浏览器。 本周，谷歌浏览器被曝存在越界写入漏洞。 攻击者可以利用此漏洞在系统上执行任意代码。 目前，厂商尚未针对上述漏洞发布补丁。 CNVD提醒用户随时关注厂商主页，获取最新版本。

参考链接：

摘要：本周，Oracle 产品中披露了多个漏洞，这些漏洞可能允许攻击者获得对 Oracle Trade Management 可访问的数据子集的未经授权的读取访问权限，以及对 Oracle Applications Manager 可访问的某些数据的未经授权的访问权限。 授权更新、插入或删除访问，导致Oracle Application framework等部分拒绝服务（部分DOS）。此外，Adobe、Apache、Trendnet等产品中还披露了多个漏洞。 攻击者可以利用该漏洞在当前用户上下文中执行任意代码，造成敏感内存泄漏，执行任意代码，检测服务器内网资源并分配资源。 资源过多导致拒绝服务等。此外，Google Chrome 被曝存在越界写入漏洞。 攻击者可以利用此漏洞在系统上执行任意代码。 建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

本周重要漏洞攻击验证

本周，CNVD建议关注以下公开的漏洞攻击验证情况。

1.外脉Super Cms跨站脚本漏洞（CNVD-2022-02739）

验证描述

外卖Super Cms是一款外卖点餐系统。

waimai Super Cms 中存在跨站脚本漏洞。 该漏洞源于产品的 /admin.php?&m=Public&a=login 链接未能正确处理输入数据。 攻击者可以利用此漏洞导致客户端代码执行。

验证消息

概念验证链接：

参考链接：

信息提供者

北京天融信网络安全技术有限公司

注：以上验证信息（方法）可能具有攻击性，仅供安全研究之用。 请用户加强漏洞防范，并尽快下载相关补丁。

关于 CNVD

国家信息安全漏洞共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD）是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。 它致力于建立民族团结。 信息安全漏洞收集、发布、验证、分析的应急响应系统。

关于CNCERT

国家计算机网络应急响应技术协调中心（简称“国家互联网应急响应中心”，英文缩写为CNCERT或CNCERT/CC）成立于2002年9月，是一家民间、非营利性的网络安全机构技术中心。 它是我国的网络安全应急响应中心。 系统的核心协调机构。

作为国家应急中心，CNCERT的主要职责是：按照“主动预防、及时发现、快速响应、确保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置，并维护国家公共卫生。 互联网安全保障基础信息网络和重要信息系统的安全运行。

网址：www.cert.org.cn

邮箱：vreport@cert.org.cn

电话：010-82991537