本周漏洞態(tài)勢(shì)研判情況

本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。

國家信息安全漏洞共享平臺(tái)(以下簡稱CNVD)本周共收集、整理信息安全漏洞178個(gè)，其中高危漏洞67個(gè)、中危漏洞92個(gè)、低危漏洞19個(gè)。漏洞平均分值為5.88。本周收錄的漏洞中，涉及0day漏洞86個(gè)(占48%)，其中互聯(lián)網(wǎng)上出現(xiàn)“WUZHI CMS SQL注入漏洞(CNVD-2022-36985)、BluditCMS跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)8445個(gè)，與上周(14613個(gè))環(huán)比減少42%。

圖1 CNVD收錄漏洞近10周平均分值分布圖

圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)

本周漏洞事件處置情況

本周，CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件44起，向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件43起，協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門漏洞事件516起，協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高?？蒲性核到y(tǒng)漏洞事件90起，向國家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門戶、子站或直屬單位信息系統(tǒng)漏洞事件128起。

圖3 CNVD各行業(yè)漏洞處置情況按周統(tǒng)計(jì)

圖4 CNCERT各分中心處置情況按周統(tǒng)計(jì)

圖5 CNVD教育行業(yè)應(yīng)急組織處置情況按周統(tǒng)計(jì)

此外，CNVD通過已建立的聯(lián)系機(jī)制或涉事單位公開聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

重慶中聯(lián)信息產(chǎn)業(yè)有限責(zé)任公司、浙江中易慧能科技有限公司、浙江浙大中控信息技術(shù)有限公司、浙江大華技術(shù)股份有限公司、云南博爾科技有限公司、友訊電子設(shè)備(上海)有限公司、用友網(wǎng)絡(luò)科技股份有限公司、兄弟(中國)商業(yè)有限公司、新道科技股份有限公司、夏普商貿(mào)(中國)有限公司、西安中望軟件資訊有限責(zé)任公司、西安瑞友信息技術(shù)資訊有限公司、武漢眾為信息技術(shù)有限公司、微軟(中國)有限公司、網(wǎng)經(jīng)科技(蘇州)有限公司、通贏天下(天津)網(wǎng)絡(luò)科技有限公司、四川萬博教育軟件股份有限公司、神州數(shù)碼控股有限公司、深圳維盟科技股份有限公司、深圳市鎮(zhèn)安科技有限公司、深圳市思迪信息技術(shù)股份有限公司、深圳市庫迪科技有限公司、深圳市集時(shí)通訊有限公司、深圳市吉祥騰達(dá)科技有限公司、深圳市河辰通訊技術(shù)有限公司、深圳市和為順網(wǎng)絡(luò)技術(shù)有限公司、深圳市共濟(jì)科技股份有限公司、深圳市多酷科技有限公司、深圳市必聯(lián)電子有限公司、深圳齊心好視通云計(jì)算有限公司、深圳科士達(dá)科技股份有限公司、上海展盟網(wǎng)絡(luò)科技有限公司、上海云翌通信科技有限公司、上海焱鳳信息技術(shù)有限公司、上海攜寧計(jì)算機(jī)科技股份有限公司、上海威派格智慧水務(wù)股份有限公司、上海樹維信息科技有限公司、上海商湯智能科技有限公司、上海商派網(wǎng)絡(luò)科技有限公司、上海華測(cè)導(dǎo)航技術(shù)股份有限公司、上海博達(dá)數(shù)據(jù)通信有限公司、上海愛數(shù)信息技術(shù)股份有限公司、上海艾泰科技有限公司、山東歐倍爾軟件科技有限責(zé)任公司、廈門網(wǎng)中網(wǎng)軟件有限公司、廈門四信通信科技有限公司、三星(中國)投資有限公司、潤申信息科技(上海)有限公司、全天數(shù)據(jù)管理有限公司、麒麟軟件有限公司、普聯(lián)技術(shù)有限公司、品道電子商務(wù)有限公司、內(nèi)蒙古奔富畜牧業(yè)發(fā)展有限公司、南京天溯自動(dòng)化控制系統(tǒng)有限公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、藍(lán)網(wǎng)科技股份有限公司、藍(lán)盾信息安全技術(shù)股份有限公司、昆明云濤科技有限公司、京瓷辦公信息系統(tǒng)(中國)有限公司、金滿壩(深圳)科技有限公司、佳能(中國)有限公司、吉翁電子(深圳)有限公司、湖南建研信息技術(shù)股份有限公司、恒鋒信息科技股份有限公司、杭州三匯信息工程有限公司、杭州企盼信息科技有限公司、杭州吉拉科技有限公司、杭州宏服軟件有限公司、杭州?？低晹?shù)字技術(shù)股份有限公司、杭州迪普科技股份有限公司、哈爾濱新中新電子股份有限公司、廣州中望龍騰軟件股份有限公司、廣州市保倫電子有限公司、廣州齊博網(wǎng)絡(luò)科技有限公司、廣州南方衛(wèi)星導(dǎo)航儀器有限公司、廣州國微軟件科技有限公司、廣西南寧領(lǐng)眾網(wǎng)絡(luò)科技有限公司、廣東堡塔安全技術(shù)有限公司、福州青格軟件有限公司、鼎捷軟件股份有限公司、成都星銳藍(lán)海網(wǎng)絡(luò)科技有限公司、成都萬江港利科技有限公司、成都索貝數(shù)碼科技股份有限公司、北京中創(chuàng)視訊科技有限公司、北京致遠(yuǎn)互聯(lián)軟件股份有限公司、北京云中融信網(wǎng)絡(luò)科技有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京通達(dá)信科科技有限公司、北京淘友天下科技發(fā)展有限公司、北京拓爾思信息技術(shù)股份有限公司、北京數(shù)影互聯(lián)科技有限公司、北京清元優(yōu)軟科技有限公司、北京派網(wǎng)軟件有限公司、北京九思協(xié)同軟件有限公司、北京華遠(yuǎn)達(dá)智聯(lián)科技集團(tuán)有限公司、北京華宇信息技術(shù)有限公司、北京函云數(shù)據(jù)科技有限公司、北京博海琪林科技有限公司、北京百卓網(wǎng)絡(luò)技術(shù)有限公司、安徽旭帆信息科技有限公司、安徽藍(lán)盾光電子股份有限公司、騰訊安全應(yīng)急響應(yīng)中心、站幫主CMS、勾股CMS、Victor CMS、TRENDnet、LuckyFrame、LG、FTCMS、EZB Systems, Inc、Dreambox Visual Communications、Cisco、canonical和Axis CommunicationsAB。

本周，CNVD發(fā)布了《Microsoft發(fā)布2022年5月安全更新》。詳情參見CNVD網(wǎng)站公告內(nèi)容。

https://www.cnvd.org.cn/webinfo/show/7681

本周漏洞報(bào)送情況統(tǒng)計(jì)

本周報(bào)送情況如表1所示。其中，阿里云計(jì)算有限公司、新華三技術(shù)有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、安天科技集團(tuán)股份有限公司等單位報(bào)送公開收集的漏洞數(shù)量較多。重慶都會(huì)信息科技有限公司、北京云科安信科技有限公司(Seraph安全實(shí)驗(yàn)室)、快頁信息技術(shù)有限公司、華魯數(shù)智信息技術(shù)(北京)有限公司、廣州百蘊(yùn)啟辰科技有限公司、上海紐盾科技股份有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、武漢安域信息安全技術(shù)有限公司、貴州泰若數(shù)字科技有限公司、河南信安世紀(jì)科技有限公司、山東云天安全技術(shù)有限公司、北京冠程科技有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、智網(wǎng)安云(武漢)信息技術(shù)有限公司、巨鵬信息科技有限公司、上海觀安信息技術(shù)股份有限公司、北京國測(cè)信安科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、廣東藍(lán)爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、安徽長泰科技有限公司、北京機(jī)沃科技有限公司、杭州默安科技有限公司及其他個(gè)人白帽子向CNVD提交了8445個(gè)以事件型漏洞為主的原創(chuàng)漏洞，其中包括斗象科技(漏洞盒子)、上海交大、奇安信網(wǎng)神(補(bǔ)天平臺(tái))和三六零數(shù)字安全科技集團(tuán)有限公司向CNVD共享的白帽子報(bào)送的6153條原創(chuàng)漏洞信息。

表1 漏洞報(bào)送情況統(tǒng)計(jì)表

本周漏洞按類型和廠商統(tǒng)計(jì)

本周，CNVD收錄了178個(gè)漏洞。WEB應(yīng)用66個(gè)，應(yīng)用程序56個(gè)，網(wǎng)絡(luò)設(shè)備(交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備)30個(gè)，數(shù)據(jù)庫11個(gè)，操作系統(tǒng)9個(gè)，智能設(shè)備(物聯(lián)網(wǎng)終端設(shè)備)5個(gè)，安全產(chǎn)品1個(gè)。

表2 漏洞按影響類型統(tǒng)計(jì)表

圖6 本周漏洞按影響類型分布

CNVD整理和發(fā)布的漏洞涉及Siemens、杭州益仕行信息技術(shù)有限公司、Oracle等多家廠商的產(chǎn)品，部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。

表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表

本周行業(yè)漏洞收錄情況

本周，CNVD收錄了7個(gè)電信行業(yè)漏洞，2個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞，4個(gè)工控行業(yè)漏洞(如下圖所示)。其中，“Siemens SIMATIC CP 44x-1 RNA拒絕服務(wù)漏洞、Google Android內(nèi)存錯(cuò)誤引用漏洞(CNVD-2022-36961)”等漏洞的綜合評(píng)級(jí)為“高?！?。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序，請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫鏈接。

電信行業(yè)漏洞鏈接：http://telecom.cnvd.org.cn/

移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接：http://mi.cnvd.org.cn/

工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

圖7 電信行業(yè)漏洞統(tǒng)計(jì)

圖8 移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞統(tǒng)計(jì)

圖9 工控系統(tǒng)行業(yè)漏洞統(tǒng)計(jì)

本周重要漏洞安全告警

本周，CNVD整理和發(fā)布以下重要安全漏洞信息。

1、Mozilla產(chǎn)品安全漏洞

Mozilla Thunderbird是美國Mozilla基金會(huì)的一套從Mozilla Application Suite獨(dú)立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協(xié)議以及HTML郵件格式。Mozilla Firefox是一款開源Web瀏覽器。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞訪問敏感信息，導(dǎo)致內(nèi)存損壞等。

CNVD收錄的相關(guān)漏洞包括：Mozilla Firefox跨站腳本漏洞(CNVD-2022-36976)、MozillaFirefox欺騙攻擊漏洞、Mozilla Firefox無限循環(huán)漏洞、Mozilla Firefox資源管理錯(cuò)誤漏洞(CNVD-2022-36980)、MozillaFirefox安全特征問題漏洞、Mozilla Firefox MessageTask資源管理錯(cuò)誤漏洞、Mozilla Thunderbird信息泄露漏洞(CNVD-2022-36982)、MozillaFirefox信息泄露漏洞(CNVD-2022-36981)。其中，“Mozilla Firefox安全特征問題漏洞”的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36976

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36978

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36977

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36980

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36979

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36983

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36982

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36981

2、IBM產(chǎn)品安全漏洞

IBM Robotic Process Automation是美國IBM公司的一種機(jī)器人流程自動(dòng)化產(chǎn)品。IBMCloud Pak System是美國IBM公司的一套具有可配置、預(yù)集成軟件的全棧、融合基礎(chǔ)架構(gòu)。IBM Robotic Process Automation是美國IBM公司的一種機(jī)器人流程自動(dòng)化產(chǎn)品。IBMSecurity Guardium Data Encryption是美國IBM公司的一個(gè)應(yīng)用軟件。IBM MQ Appliance是美國IBM公司的一款用于快速部署企業(yè)級(jí)消息中間件的一體機(jī)設(shè)備。IBM Watson Query是美國IBM公司的一個(gè)通用查詢引擎。IBM Cloud Pak for Business Automation是美國國際商業(yè)機(jī)器公司(IBM)的一組模塊化的集成軟件組件。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞解密敏感信息，枚舉賬戶憑證，導(dǎo)致拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：IBM Robotic Process Automation授權(quán)問題漏洞、IBM Cloud Pak System加密問題漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption(GDE)跨站腳本漏洞、IBMMQ Appliance信息泄露漏洞(CNVD-2022-36975)、IBMMQ Appliance拒絕服務(wù)漏洞(CNVD-2022-36974)、IBMWatson Query with Cloud Pak for Data as a Service權(quán)限提升漏洞、IBM Cloud Pak for Business Automation訪問控制錯(cuò)誤漏洞。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36971

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36969

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36968

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36967

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36975

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36973

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36972

3、SIEMENS產(chǎn)品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個(gè)可為設(shè)計(jì)2D、3D場景提供團(tuán)隊(duì)協(xié)作功能的軟件。Desigo PXC4樓宇自動(dòng)化控制器是為暖通空調(diào)系統(tǒng)控制而設(shè)計(jì)的。它是一款緊湊型設(shè)備，內(nèi)置IOs，能夠通過額外的TX-IO模塊擴(kuò)展到您的需要。Desigo PXC5是一款可自由編程控制器，用于BACnet系統(tǒng)級(jí)功能，如報(bào)警路由、系統(tǒng)范圍的調(diào)度和趨勢(shì)分析，以及設(shè)備監(jiān)控。Desigo DXR2控制器是可編程的自動(dòng)化站，以支持終端HVAC設(shè)備和TRA(全房間自動(dòng)化)應(yīng)用的標(biāo)準(zhǔn)控制需求。Desigo PXC3系列自動(dòng)化站可用于功能性和靈活性要求更高的建筑。SICAM P850多功能測(cè)量裝置用于采集、可視化、評(píng)估和傳輸電氣測(cè)量變量，如交流電、交流電壓、頻率、功率、諧波等。SICAM P855多功能設(shè)備用于收集、顯示和傳輸測(cè)量的電氣變量，如交流電流、交流電壓、功率類型、諧波等。根據(jù)電能質(zhì)量標(biāo)準(zhǔn)IEC 61000-4-30收集和處理測(cè)量值和事件。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞訪問設(shè)備的管理界面，在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼，造成拒絕服務(wù)等。

CNVD收錄的相關(guān)漏洞包括：Siemens JT2Go和TeamcenterVisualization雙重釋放漏洞(CNVD-2022-36381)、SiemensJT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXRDevices遠(yuǎn)程代碼執(zhí)行漏洞、Siemens Desigo PXC和DXRDevices不受控制資源消耗漏洞、Siemens SICAM P850和SICAMP855 Devices跨站腳本漏洞(CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391)、SiemensSICAM P850和SICAM P855 Devices繞過身份驗(yàn)證漏洞。上述漏洞的綜合評(píng)級(jí)為“高?！?。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36379

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36378

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36389

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36393

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36391

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36395

4、Oracle產(chǎn)品安全漏洞

Oracle Solaris是美國甲骨文(Oracle)公司的一套UNIX操作系統(tǒng)。Oracle WebLogic Server是一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件。Oracle MySQL是一套開源的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。MySQL Server是其中的一個(gè)數(shù)據(jù)庫服務(wù)器組件。MySQL Connectors是其中的一個(gè)連接使用MySQL的應(yīng)用程序的驅(qū)動(dòng)程序。OracleDatabase Server是一套關(guān)系數(shù)據(jù)庫管理系統(tǒng)。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞讀取和操作數(shù)據(jù)，執(zhí)行任意代碼等。

CNVD收錄的相關(guān)漏洞包括：Oracle Solaris輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-36946)、OracleWebLogic Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-36951)、OracleMySQL InnoDB組件拒絕服務(wù)漏洞、Oracle Database Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958)、Oracle MySQL輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-36955)。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36946

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36951

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36949

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36954

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36953

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36952

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36958

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36955

5、Delta Electronics DIAEnergieSQL注入漏洞(CNVD-2022-36031)

Delta Electronics DIAEnergie是一個(gè)工業(yè)能源管理系統(tǒng)，用于實(shí)時(shí)監(jiān)控和分析能源消耗、計(jì)算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。本周，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶隨時(shí)關(guān)注廠商主頁，以獲取最新版本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031

小結(jié)：本周，Mozilla產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞訪問敏感信息，導(dǎo)致內(nèi)存損壞等。此外，IBM、Siemens、Oracle等多款產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞讀取和操作數(shù)據(jù)，在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼，造成拒絕服務(wù)等。另外，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫內(nèi)容以及執(zhí)行系統(tǒng)命令。建議相關(guān)用戶隨時(shí)關(guān)注上述廠商主頁，及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。

本周重要漏洞攻擊驗(yàn)證情況

本周，CNVD建議注意防范以下已公開漏洞攻擊驗(yàn)證情況。

1、Bludit CMS跨站腳本漏洞

驗(yàn)證描述

Bludit CMS是一套開源的輕量級(jí)博客內(nèi)容管理系統(tǒng)(CMS)。

Bludit CMS v3.13.1版本存在跨站腳本漏洞，該漏洞源于/admin/new-content頁面缺少對(duì)于用戶輸入數(shù)據(jù)的過濾和驗(yàn)證。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。

驗(yàn)證信息

POC鏈接：

https://github.com/joinia/webray.com.cn/blob/main/Bludit/Bluditreadme.md

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-36994

信息提供者

新華三技術(shù)有限公司

注：以上驗(yàn)證信息(方法)可能帶有攻擊性，僅供安全研究之用。請(qǐng)廣大用戶加強(qiáng)對(duì)漏洞的防范工作，盡快下載相關(guān)補(bǔ)丁。

來源：CNVD漏洞平臺(tái)