信息安全漏洞通报2018年9月国家信息安全漏洞库（CNNVD）本期导读漏洞态势根据国家信息安全漏洞库（CNNVD）统计，2018年9月份采集安全漏洞共1324个。

本月接报漏洞共计2314个，其中信息技术产品漏洞（通用型漏洞）129个，网络信息系统漏洞（事件型漏洞）2185个。

重大漏洞预警1、微软官方发布了多个安全漏洞的公告，包括Internet Explorer 内存损坏漏洞（CNNVD-201809-509、CVE-2018-8447）、Microsoft Excel 远程代码执行漏洞（CNNVD-201809-550、CVE-2018-8331）等多个漏洞。

成功利用上述安全漏洞的攻击者，可以在目标系统上执行任意代码。

微软多个产品和系统受漏洞影响。

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

漏洞态势一、公开漏洞情况根据国家信息安全漏洞库（CNNVD ）统计，2018年9月份新增安全漏洞共1324个，从厂商分布来看，Google 公司产品的漏洞数量最多，共发布110个；从漏洞类型来看，跨站脚本类的漏洞占比最大，达到13.14%。

本月新增漏洞中，超危漏洞24个、高危漏洞89个、中危漏洞873个、低危漏洞338个，相应修复率分别为62.50%、92.13%、70.33%以及56.80%。

合计903个漏洞已有修复补丁发布，本月整体修复率68.20%。

截至2018年9月30日，CNNVD 采集漏洞总量已达115764个。

1.1 漏洞增长概况2018年9月新增安全漏洞1324个，与上月（962个）相比增加了37.63%。

根据近6个月来漏洞新增数量统计图，平均每月漏洞数量达到1374个。

图1 2018年4月至2018年9月漏洞新增数量统计图149695115052004962132425045065085010501250145016501850205022502018年4月2018年5月2018年6月2018年7月2018年8月2018年9月1.2 漏洞分布情况1.2.1漏洞厂商分布9月厂商漏洞数量分布情况如表1所示，Google公司达到110个，占本月漏洞总量的8.31%。

本月Google、Cisco、Apple等公司的漏洞数量均有所上升。

表1 2018年9月排名前十厂商新增安全漏洞统计表1.2.2漏洞产品分布9月主流操作系统的漏洞统计情况如表2所示。

本月Windows 系列操作系统漏洞数量共50条，其中桌面操作系统50条，服务器操作系统41条。

本月Android漏洞数量最多，达到79个，占主流操作系统漏洞总量的22.38%，排名第一。

表2 2018年9月主流操作系统漏洞数量统计*由于Windows整体市占率高达百分之九十以上，所以上表针对不同的Windows版本分别进行统计*上表漏洞数量为影响该版本的漏洞数量，由于同一漏洞可能影响多个版本操作系统，计算某一系列操作系统漏洞总量时，不能对该系列所有操作系统漏洞数量进行简单相加。

1.2.3 漏洞类型分布9月份发布的漏洞类型分布如表3所示，其中跨站脚本类漏洞所占比例最大，约为13.14%。

表32018年9月漏洞类型统计表1.2.4 漏洞危害等级分布根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危和低危级别。

9月漏洞危害等级分布如图2所示，其中超危漏洞24条，占本月漏洞总数的1.81%。

图2 2018年9月漏洞危害等级分布1.3漏洞修复情况 1.3.1 整体修复情况9月漏洞修复情况按危害等级进行统计见图3。

其中高危漏洞修24个96个873个338个超危1.81%高危7.25%中危65.94%低危25.53%复率最高，达到92.13%，低危漏洞修复率最低，比例为56.80%。

与上月相比，本月超危、低危漏洞修复率有所上升，高危、中危漏洞修复率有所下降。

总体来看，本月漏洞整体修复率上升，由上月的67.78%上升至本月的68.20%。

图3 2018年9月漏洞修复数量统计1.3.2 厂商修复情况9月漏洞修复情况按漏洞数量前十厂商进行统计，其中Google 、Microsoft 、IBM 等十个厂商共407条漏洞，占本月漏洞总数的30.74%，漏洞修复率为95.82%，详细情况见表4。

多数知名厂商对产品安全高度重视，产品漏洞修复比较及时，其中IBM 、Apple 、Adobe 、Qualcomm 、Apache 、Samsung 、SAP 、联想、Mozilla 、CA 等公司本月漏洞修复率均为100%，共356条漏洞已全部修复。

表4 2018年9月厂商修复情况统计表100200300400500600700800900超高中低24968733381582614192漏洞数量修复数量1.4 重要漏洞实例1.4.1 超危漏洞实例本月超危漏洞共24个，其中重要漏洞实例如表5所示。

表5 2018年9月超危漏洞实例1.Micronet INplc-RT 授权问题漏洞（CNNVD-201809-429）Micronet INplc-RT是日本Micronet公司的一款软件定义的PLC （可编程逻辑控制器）。

Micronet INplc-RT 3.08及之前版本中存在授权问题漏洞。

远程攻击者可利用该漏洞执行任意命令。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：http://www.mnc.co.jp/INplc/info_20180907_E.htm2.Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-NMultifunction VPN Router和RV215W Wireless-N VPN Router 缓冲区错误漏洞（CNNVD-201809-254）Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router都是美国思科（Cisco）公司的产品。

Cisco RV110W Wireless-N VPN Firewall是一款防火墙产品。

RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router都是企业级无线路由器产品。

Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router中基于Web的管理接口存在缓冲区错误漏洞。

远程攻击者可通过向目标设备发送恶意的请求利用该漏洞造成拒绝服务（设备停止响应）或执行任意代码。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:///security/center/content/CiscoSec urityAdvisory/cisco-sa-20180905-rv-routers-overflow3.Emerson Electric AMS Device Manager 访问控制错误漏洞（CNNVD-201809-1249）Emerson Electric AMS Device Manager是美国艾默生电气（Emerson Electric）公司的一套固定资产管理软件。

该软件提供预测性诊断、设备配置管理等功能。

Emerson Electric AMS Device Manager 12.0版本至13.5版本中存在访问控制错误漏洞。

远程攻击者可借助特制的脚本利用该漏洞执行任意代码。

解决措施：目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：https:///en-us1.4.2 高危漏洞实例本月高危漏洞共96个，其中重点漏洞实例如表6所示。

表6 2018年9月高危漏洞实例1.Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-NMultifunction VPN Router和RV215W Wireless-N VPN Router 信息泄露漏洞（CNNVD-201809-264）Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router都是美国思科（Cisco）公司的产品。

Cisco RV110W Wireless-N VPN Firewall 是一款防火墙产品。

RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router都是企业级无线路由器产品。

Cisco RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router中基于Web的管理界面存在信息泄露漏洞，该漏洞源于程序没有对界面中的文件执行正确的访问控制。

远程攻击者可利用该漏洞获取敏感信息，包括用户身份验证凭证。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:///security/center/content/CiscoSecurityAdvisory /cisco-sa-20180905-rv-routers-disclosure2.Cisco Integrated Management Controller Software 命令注入漏洞（CNNVD-201809-266）Cisco Integrated Management Controller（IMC）Software是美国思科（Cisco）公司的一套用于对UCS（统一计算系统）进行管理的软件。

该软件支持HTTP、SSH访问等，并可对服务器进行开机、关机和重启等操作。

Cisco IMC Software中的基于Web的管理界面存在命令注入漏洞，该漏洞源于受影响的软件对命令的验证不充分。

远程攻击者可通过向该界面发送特制的命令利用该漏洞在受影响的设备上以root权限注入并执行任意系统级别的命令。

解决措施：目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https:///security/center/content/CiscoSecurityAdvisory /cisco-sa-20180905-cimc-injection3.Fuji Electric V-Server VPR 数字错误漏洞（CNNVD-201809-580）Fuji Electric V-Server VPR是日本富士电机（Fuji Electric）公司的一款数据收集软件。