总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2014-0003
2013年12月,国家信息安全漏洞共享平台(CNVD)对增值电信企业存在的漏洞风险进行跟踪监测,并联合CNVD合作单位(WOOYUN网站)接收涉及境内增值电信企业的漏洞事件报告。现将相关情况通报如下:
一、 重点软硬件漏洞收录情况
12月,CNVD电信行业漏洞库共收录62个与电信行业相关的漏洞。按攻击途径分,可远程利用漏洞56个,本地攻击漏洞6个;按危害等级分,高危漏洞8个,中危漏洞43个,低危11个;按影响对象类型分,网络设备漏洞39个,应用程序漏洞19个,数据库软件漏洞2个,Web应用漏洞1个。详情可参见CNVD网站电信行业漏洞收录列表:http://www.cnvd.org.cn/industry/flawList/1。
二、增值企业信息系统漏洞风险事件
根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告,对涉及百度、京东、搜狐、阿里巴巴、腾讯、网易、新浪7家单位的漏洞风险事件进行了不完全统计。12月,共收录66起与上述单位相关的漏洞风险事件。上述漏洞风险主要存在于增值电信企业自营业务平台,如:博客、微博、邮件系统以及相关软件产品,如:浏览器、安全防护软件、客户端软件等。其中,数据库服务器信息泄露、交互系统存储型XSS脚本、认证系统权限绕过对增值电信企业相关系统运行以及用户信息和资产安全构成较大威胁。
附表1和附表2为2013年12月增值企业漏洞风险事件详细列表和按单位统计情况。
附表1 2013年12月增值企业漏洞风险事件详细列表
| 通报日期 | 漏洞名称 | 风险等级 |
| 2013/12/30 | 百度搜索存储型XSS | 高 |
| 2013/12/30 | 百度浏览器持久xss | 高 |
| 2013/12/19 | 百度某分站源码泄露造成注入及其它信息泄露 | 中 |
| 2013/12/16 | 百度百科反射型xss一枚 | 低 |
| 2013/12/15 | 绕过百度OAuth2.0认证的redirect_uri限制劫持帐号token | 低 |
| 2013/12/10 | 百度泄露用户手机号码注册邮箱等个人信息 | 低 |
| 2013/12/9 | 百度贴吧某功能CSRF+XSS漏洞可对用户留置后门 | 低 |
| 2013/12/6 | 百度多处路由信息泄露及路由器默认口令! | 高 |
| 2013/12/30 | 腾讯微信全版本突破视频聊天免打扰功能 | 低 |
| 2013/12/25 | 注入dll绕过腾讯安全管家任意执行代码 | 中 |
| 2013/12/24 | 腾讯空间某处功能xss(目测可蠕虫) | 中 |
| 2013/12/23 | 通过代码朋友网可秒查QQ号 | 低 |
| 2013/12/19 | 腾讯企业邮箱设计不当可在特定场景下泄漏其他企业部分敏感信息 | 中 |
| 2014/1/3 | 微信登陆他人账号 | 低 |
| 2013/12/18 | 腾讯某分站SQL注入漏洞 | 高 |
| 2013/12/19 | 腾讯TM2013Preview2可信路径权限提升 | 中 |
| 2013/12/17 | QQ邮箱反射型XSS漏洞一枚 | 高 |
| 2013/12/17 | 任何第三方网站通过后台请求QQ空间等网站均可获取到当前登录用户的QQ号 | 低 |
| 2013/12/17 | QQ浏览器游戏中心无限领取游戏Cdkey | 中 |
| 2013/12/15 | 腾讯某研发中心某系统多用户弱口令可能导致该产品线及业务受影响! | 中 |
| 2013/12/11 | 腾讯某服务配置不当内部海量敏感信息泄露! | 中 |
| 2013/12/10 | SOSO泄露部分用户sid可进入QQ个人中心 | 中 |
| 2013/12/9 | 腾讯某信息泄露危及其下多个discuz!论坛数据 | 高 |
| 2013/12/6 | 获取访客QQ号码 | 高 |
| 2013/12/6 | 腾讯游戏竞技平台TGA某站注入 | 低 |
| 2013/12/4 | 安卓版微云客户端绕过独立密码 | 中 |
| 2013/12/2 | 腾讯微云文件分享密码可暴力破解 | 中 |
| 2013/12/27 | 搜狐23台redis数据库未授权访问 | 高 |
| 2013/12/27 | 搜狐四处mongodb未授权访问导致大量数据泄露 | 高 |
| 2013/12/27 | 搜狐微博存储型XSS危害严重(可直接获取搜狐微博官方客服cookie) | 高 |
| 2013/12/27 | 搜狐mongodb未授权访问可导致大量缓存数据泄露 | 高 |
| 2013/12/27 | 搜狐mongodb未授权访问2千万不明真相数据泄露 | 高 |
| 2013/12/26 | 搜狐某分站sql注入一枚 | 高 |
| 2013/12/26 | sohu某mongodb未授权访问 | 高 |
| 2013/12/25 | 搜狐微博帐号泄漏漏洞 | 低 |
| 2013/12/20 | 搜狐个人中心CSRF删除指定用户的微博 | 中 |
| 2013/12/19 | 搜狐运维不当导致多服务器内部信息泄露 | 高 |
| 2013/12/19 | 搜狐微博CSRF打包 | 高 |
| 2013/12/18 | 搜狐博客存储型xss1获取cookie可登录邮箱微博等(可蠕动) | 中 |
| 2013/12/12 | 搜狐某分站sql注入漏洞(修复不完善) | 中 |
| 2013/12/11 | 搜狐某某分站sql注入(root权限!) | 高 |
| 2013/12/11 | 搜狐某处OAuth认证缺陷可劫持用户token | 高 |
| 2013/12/8 | 搜狐邮箱存储型XSS(需点击) | 中 |
| 2013/12/1 | 搜狐某站未授权访问+sql注入 | 高 |
| 2013/12/3 | 搜狐任意网址跳转漏洞 | 中 |
| 2013/12/25 | 京东某个未授权导致截获供应商订单 | 中 |
| 2013/12/12 | 京东商城某处可遍历用户联系方式 | 中 |
| 2013/12/6 | 京东团购订购页面泄露用户信息 | 中 |
| 2013/12/4 | 京东商城某业务被入侵商品页面跳转赌博网站 | 低 |
| 2013/12/28 | 新浪博客某处标签过滤不严可xss及多处csrf漏洞 | 中 |
| 2013/12/27 | 新浪某页面泄密后台账号密码 | 低 |
| 2013/12/27 | 新浪博客某处鸡肋越权及CSRF漏洞 | 中 |
| 2013/12/24 | 新浪某站点任意系统文件读取 | 高 |
| 2013/12/18 | 新浪某分站sql注入漏洞 | 中 |
| 2013/12/13 | 新浪微博微漫画频道存储xss | 低 |
| 2013/12/2 | 新浪收藏可删除他人藏品 | 中 |
| 2013/12/23 | 阿里云某站一次不成功的Fuzzing | 中 |
| 2013/12/12 | 阿里巴巴公益基金会主站注入导致整站沦陷 | 高 |
| 2013/12/7 | 阿里云分站后台弱口令(泄露大量邮件) | 中 |
| 2013/12/5 | 看我如何重置支付宝钱包手势密码 | 低 |
| 2013/12/9 | 绕过网易oauth认证的redirect_uri限制劫持帐号token | 中 |
| 2013/12/6 | 网易新闻android版任意命令执行漏洞 | 高 |
| 2013/12/4 | 网易域名邮箱存储型xss(直接触发) | 高 |
| 2013/12/2 | 网易博客存储型XSS一枚 | 中 |
| 2013/12/2 | 网易163邮箱xss可钓他人cookie(需点击) | 中 |
附表2增值电信企业漏洞风险事件统计
(2013年12月)
| 企业名称 | 事件数量 | 高 | 中 | 低 |
| 阿里巴巴 | 4 | 1 | 2 | 1 |
| 百度 | 9 | 3 | 2 | 4 |
| 京东 | 4 | 0 | 3 | 1 |
| 搜狐 | 18 | 12 | 5 | 1 |
| 腾讯 | 19 | 4 | 10 | 5 |
| 网易 | 5 | 2 | 3 | 0 |
| 新浪 | 7 | 1 | 4 | 2 |
| 总计 | 66 | 23 | 29 | 14 |