本周漏洞態(tài)勢(shì)研判情況

　　本周信息安全漏洞威脅整體評(píng)價(jià)級(jí)別為中。

　　國(guó)家信息安全漏洞共享平臺(tái)（以下簡(jiǎn)稱(chēng)CNVD）本周共收集、整理信息安全漏洞484個(gè)，其中高危漏洞104個(gè)、中危漏洞328個(gè)、低危漏洞52個(gè)。漏洞平均分值為5.58。本周收錄的漏洞中，涉及0day漏洞344個(gè)（占71%），其中互聯(lián)網(wǎng)上出現(xiàn)“webTareas路徑遍歷漏洞、webTareas跨站腳本漏洞”等零日代碼攻擊漏洞。本周CNVD接到的涉及黨政機(jī)關(guān)和企事業(yè)單位的事件型漏洞總數(shù)20493個(gè)，與上周（13110個(gè)）環(huán)比增加56%。

　　圖1 CNVD收錄漏洞近10周平均分值分布圖

　　圖2 CNVD 0day漏洞總數(shù)按周統(tǒng)計(jì)

　　本周漏洞事件處置情況

　　本周，CNVD向銀行、保險(xiǎn)、能源等重要行業(yè)單位通報(bào)漏洞事件24起，向基礎(chǔ)電信企業(yè)通報(bào)漏洞事件28起，協(xié)調(diào)CNCERT各分中心驗(yàn)證和處置涉及地方重要部門(mén)漏洞事件623起，協(xié)調(diào)教育行業(yè)應(yīng)急組織驗(yàn)證和處置高校科研院所系統(tǒng)漏洞事件147起，向國(guó)家上級(jí)信息安全協(xié)調(diào)機(jī)構(gòu)上報(bào)涉及部委門(mén)戶(hù)、子站或直屬單位信息系統(tǒng)漏洞事件54起。

　　此外，CNVD通過(guò)已建立的聯(lián)系機(jī)制或涉事單位公開(kāi)聯(lián)系渠道向以下單位通報(bào)了其信息系統(tǒng)或軟硬件產(chǎn)品存在的漏洞，具體處置單位情況如下所示：

　　淄博閃靈網(wǎng)絡(luò)科技有限公司、珠海玖?xí)r光科技有限公司、重慶新光互動(dòng)科技有限公司、重慶華人會(huì)信息技術(shù)有限公司、中新網(wǎng)絡(luò)信息安全股份有限公司、中建西部建設(shè)股份有限公司、中國(guó)電信集團(tuán)公司、浙江中易慧能科技有限公司、長(zhǎng)沙友點(diǎn)軟件科技有限公司、友訊電子設(shè)備（上海）有限公司、用友網(wǎng)絡(luò)科技股份有限公司、煙臺(tái)晴好網(wǎng)絡(luò)科技有限公司、兄弟（中國(guó)）商業(yè)有限公司、新天科技股份有限公司、新都（青島）辦公系統(tǒng)有限公司、西安九佳易信息資訊有限公司、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司、微軟（中國(guó)）有限公司、同望科技股份有限公司、通力電梯有限公司、宿遷鑫潮信息技術(shù)有限公司、松下電器（中國(guó)）有限公司、世邦通信股份有限公司、石家莊捷搜網(wǎng)絡(luò)科技有限公司、深圳市友華通信技術(shù)有限公司、深圳市迅捷通信技術(shù)有限公司、深圳市西迪特科技有限公司、深圳市深日科技有限公司、深圳市藍(lán)凌軟件股份有限公司、深圳市吉祥騰達(dá)科技有限公司、深圳市朝恒輝網(wǎng)絡(luò)科技有限公司、深圳極速創(chuàng)想科技有限公司、深圳華望技術(shù)有限公司、紹興市青年軟件開(kāi)發(fā)有限公司、上海華測(cè)導(dǎo)航技術(shù)股份有限公司、上海創(chuàng)圖網(wǎng)絡(luò)科技股份有限公司、山東領(lǐng)圖信息科技股份有限公司、廈門(mén)網(wǎng)中網(wǎng)軟件有限公司、廈門(mén)鳳凰創(chuàng)壹軟件有限公司、全訊匯聚網(wǎng)絡(luò)科技（北京）有限公司、普聯(lián)技術(shù)有限公司、南京科遠(yuǎn)智慧科技集團(tuán)股份有限公司、南京華設(shè)科技股份有限公司、摩莎科技（上海）有限公司、煤炭科學(xué)研究總院研究生院、龍采科技集團(tuán)有限責(zé)任公司、廊坊市極致網(wǎng)絡(luò)科技有限公司、昆明云濤科技有限公司、佳能（中國(guó)）有限公司、吉翁電子（深圳）有限公司、華為技術(shù)有限公司、合肥優(yōu)視嵌入式技術(shù)有限責(zé)任公司、合肥久鑫網(wǎng)絡(luò)科技有限公司、杭州順網(wǎng)科技股份有限公司、漢王科技股份有限公司、桂林佳朋信息科技有限公司、貴州奧德網(wǎng)絡(luò)科技有限公司、廣州市成格信息技術(shù)有限公司、廣州獵客軟件科技有限公司、廣東旭誠(chéng)科技有限公司、富泰華工業(yè)（深圳）有限公司、福州網(wǎng)鈦軟件科技有限公司、福建銀達(dá)匯智信息科技股份有限公司、福建星網(wǎng)銳捷通訊股份有限公司、帆軟軟件有限公司、東莞市信源計(jì)算機(jī)科技股份有限公司、得力集團(tuán)有限公司、戴爾（中國(guó)）有限公司、大唐電信科技股份有限公司、大連龍采科技開(kāi)發(fā)有限公司、成都萬(wàn)江港利科技股份有限公司、成都生動(dòng)網(wǎng)絡(luò)科技有限公司、成都愛(ài)誠(chéng)科技有限公司、貝爾金國(guó)際有限公司、北京中遠(yuǎn)麒麟科技有限公司、北京中創(chuàng)視訊科技有限公司、北京中成科信科技發(fā)展有限公司、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司、北京偉業(yè)前程科技有限公司、北京網(wǎng)康科技有限公司、北京通達(dá)志成科技有限公司、北京通達(dá)信科科技有限公司、北京上元信安技術(shù)有限公司、北京康心心理信息技術(shù)有限公司、北京火星高科數(shù)字科技有限公司、北京漢邦高科數(shù)字技術(shù)股份有限公司、北京碧海威科技有限公司、北京奧博威斯科技有限公司、奧壹科技（廣州）有限公司、安科訊（福建）科技有限公司、無(wú)憂(yōu)網(wǎng)絡(luò)、若依、京瓷辦公信息系統(tǒng)株式會(huì)社、zzcms、XnSoft、wazuh、VelosLLC、The Apache Software Foundation、Sapido Technology Inc、phpyun、Nacos、MuuCmf、Hancom、Genexis和Bandisoft。

　　本周漏洞報(bào)送情況統(tǒng)計(jì)

　　本周報(bào)送情況如表1所示。其中，北京奇虎科技有限公司、新華三技術(shù)有限公司、哈爾濱安天科技集團(tuán)股份有限公司、廈門(mén)服云信息科技有限公司、北京神州綠盟科技有限公司等單位報(bào)送公開(kāi)收集的漏洞數(shù)量較多。貴州多彩寶互聯(lián)網(wǎng)服務(wù)有限公司、聯(lián)想集團(tuán)、山東云天安全技術(shù)有限公司、北京信聯(lián)科匯科技有限公司、河南靈創(chuàng)電子科技有限公司、廣東藍(lán)爵網(wǎng)絡(luò)安全技術(shù)股份有限公司、新疆海狼科技有限公司、長(zhǎng)春嘉誠(chéng)信息技術(shù)股份有限公司、杭州海康威視數(shù)字技術(shù)股份有限公司、南京樹(shù)安信息技術(shù)有限公司、浙江木鏈物聯(lián)網(wǎng)科技有限公司、福建省海峽信息技術(shù)有限公司、北京安帝科技有限公司、杭州迪普科技股份有限公司、內(nèi)蒙古云科數(shù)據(jù)服務(wù)股份有限公司、內(nèi)蒙古洞明科技有限公司、南京眾智維信息科技有限公司、北京云科安信科技有限公司（Seraph安全實(shí)驗(yàn)室）、北京山石網(wǎng)科信息技術(shù)有限公司、北京華云安信息技術(shù)有限公司、重慶都會(huì)信息科技、北京網(wǎng)御星云信息技術(shù)有限公司、河南信安世紀(jì)科技有限公司、安元實(shí)驗(yàn)室、蘇州棱鏡七彩信息科技有限公司、北京美亞柏科網(wǎng)絡(luò)安全科技有限公司、奇安信-工控安全實(shí)驗(yàn)室、百度在線(xiàn)網(wǎng)絡(luò)技術(shù)有限公司、中移（杭州）信息技術(shù)有限公司、騰訊安全天馬實(shí)驗(yàn)室、四川博恩信息技術(shù)有限公司、深圳市魔方安全科技有限公司、北京水木羽林科技有限公司、思而聽(tīng)網(wǎng)絡(luò)科技有限公司、杭州天谷信息科技有限公司、北京機(jī)沃科技有限公司、山石網(wǎng)科通信技術(shù)股份有限公司、廣州安億信軟件科技有限公司、鄭州天宇鴻圖電子科技有限公司、安徽長(zhǎng)泰科技有限公司、云南南天電子信息產(chǎn)業(yè)股份有限公司、華泰人壽保險(xiǎn)股份有限公司、北方實(shí)驗(yàn)室（沈陽(yáng)）股份有限公司、蘇州棱鏡七彩信息科技有限公司、中國(guó)銀河證券股份有限公司、天訊瑞達(dá)通信技術(shù)有限公司及其他個(gè)人白帽子向CNVD提交了20493個(gè)以事件型漏洞為主的原創(chuàng)漏洞，其中包括斗象科技（漏洞盒子）、上海交大和奇安信網(wǎng)神（補(bǔ)天平臺(tái)）向CNVD共享的白帽子報(bào)送的17506條原創(chuàng)漏洞信息。

　　表1 漏洞報(bào)送情況統(tǒng)計(jì)表

　　本周漏洞按類(lèi)型和廠商統(tǒng)計(jì)

　　本周，CNVD收錄了484個(gè)漏洞。智能設(shè)備（物聯(lián)網(wǎng)終端設(shè)備）159個(gè)， WEB應(yīng)用138個(gè)，應(yīng)用程序79個(gè)，網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器等網(wǎng)絡(luò)端設(shè)備）45個(gè)，操作系統(tǒng)43個(gè)，安全產(chǎn)品18個(gè)，數(shù)據(jù)庫(kù)2個(gè)。

　　表2 漏洞按影響類(lèi)型統(tǒng)計(jì)表

　　圖6 本周漏洞按影響類(lèi)型分布

　　CNVD整理和發(fā)布的漏洞涉及Huawei、Google、IBM等多家廠商的產(chǎn)品，部分漏洞數(shù)量按廠商統(tǒng)計(jì)如表3所示。

　　表3 漏洞產(chǎn)品涉及廠商分布統(tǒng)計(jì)表

　　本周行業(yè)漏洞收錄情況

　　本周，CNVD收錄了20個(gè)電信行業(yè)漏洞，30個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞，20個(gè)工控行業(yè)漏洞（如下圖所示）。其中，“Huawei Emui和Magic UI內(nèi)存訪(fǎng)問(wèn)越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗(yàn)證提供商漏洞”等漏洞的綜合評(píng)級(jí)為“高危”。相關(guān)廠商已經(jīng)發(fā)布了漏洞的修補(bǔ)程序，請(qǐng)參照CNVD相關(guān)行業(yè)漏洞庫(kù)鏈接。

　　電信行業(yè)漏洞鏈接：http://telecom.cnvd.org.cn/

　　移動(dòng)互聯(lián)網(wǎng)行業(yè)漏洞鏈接：http://mi.cnvd.org.cn/

　　工控系統(tǒng)行業(yè)漏洞鏈接：http://ics.cnvd.org.cn/

　　本周重要漏洞安全告警

　　本周，CNVD整理和發(fā)布以下重要安全漏洞信息。

　　1、IBM產(chǎn)品安全漏洞

　　IBM InfoSphere Information Server是一個(gè)數(shù)據(jù)集成平臺(tái)，包含一系列產(chǎn)品，使您能夠理解、清理、監(jiān)控、轉(zhuǎn)換及傳送數(shù)據(jù)，以及協(xié)作以彌合業(yè)務(wù)與IT之間的差距。Ibm InfoSphere DataStage Flow Designer是美國(guó)Ibm公司的一個(gè)基于 Web 的數(shù)據(jù)階段流程設(shè)計(jì)器。IBM Cognos Analytics是美國(guó)IBM公司的一套商業(yè)智能軟件，可提供有價(jià)值的信息、安全的數(shù)據(jù)治理和報(bào)告。IBM Security Guardium是美國(guó)IBM公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線(xiàn)化的審計(jì)流程構(gòu)建等功能。IBM Sterling B2B Integrator是美國(guó)IBM公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實(shí)現(xiàn)復(fù)雜的B2B流程的安全集成。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，非法執(zhí)行SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)，越權(quán)訪(fǎng)問(wèn)“新作業(yè)”頁(yè)面，遠(yuǎn)程執(zhí)行代碼等。

　　CNVD收錄的相關(guān)漏洞包括：IBM InfoSphere Information Server信息泄露漏洞（CNVD-2021-87010）、IBM Planning Analytics信息泄露漏洞（CNVD-2021-87013）、IBM InfoSphere DataStage Flow Designer代碼問(wèn)題漏洞、IBM Sterling B2B Integrator授權(quán)問(wèn)題漏洞（CNVD-2021-87017）、IBM Cognos Analytics權(quán)限提升漏洞（CNVD-2021-87015）、IBM Cognos Analytics遠(yuǎn)程代碼執(zhí)行漏洞、IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）。其中“IBM Security Guardium硬編碼憑證漏洞、IBM Sterling B2B Integrator SQL注入漏洞（CNVD-2021-87020）”漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87010

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87013

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87012

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87017

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87015

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87014

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87021

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-87020

　　2、Huawei產(chǎn)品安全漏洞

　　Huawei Emui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Magic Ui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Huawei FusionCompute是中國(guó)華為（Huawei）公司的一款計(jì)算機(jī)虛擬化引擎。該產(chǎn)品提供虛擬資源管理器（VRM）和計(jì)算節(jié)點(diǎn)代理（CNA）等。Huawei AIS-BW50-00是中國(guó)華為（Huawei）公司的一款便攜式藍(lán)牙音箱。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞導(dǎo)致進(jìn)程異常，劫持設(shè)備并偽造UI誘使用戶(hù)執(zhí)行惡意命令，在特定場(chǎng)景下處理證書(shū)文件時(shí)進(jìn)行命令注入，在目標(biāo)設(shè)備中執(zhí)行任意代碼等。

　　CNVD收錄的相關(guān)漏洞包括：Huawei Emui和Magic UI遠(yuǎn)程DoS漏洞（CNVD-2021-84859）、Huawei Emui和Magic UI配置缺陷漏洞（CNVD-2021-84858、CNVD-2021-84860）、Huawei Emui和Magic UI目錄遍歷漏洞、Huawei Emui和Magic UI內(nèi)存訪(fǎng)問(wèn)越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗(yàn)證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權(quán)問(wèn)題漏洞。其中“Huawei Emui和Magic UI內(nèi)存訪(fǎng)問(wèn)越界漏洞、Huawei Emui和Magic UI劫持未經(jīng)驗(yàn)證提供商漏洞、Huawei FusionCompute命令注入漏洞（CNVD-2021-84882）、Huawei AIS-BW50-00授權(quán)問(wèn)題漏洞”漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84860

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84859

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84858

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84857

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84869

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84877

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84882

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84884

　　3、Mozilla產(chǎn)品安全漏洞

　　Rust是Mozilla基金會(huì)的一款通用、編譯型編程語(yǔ)言。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用該漏洞創(chuàng)建釋放后使用訪(fǎng)問(wèn)，導(dǎo)致并發(fā)程序中的數(shù)據(jù)競(jìng)爭(zhēng)的錯(cuò)誤，導(dǎo)致緩沖區(qū)溢出或堆溢出等。

　　CNVD收錄的相關(guān)漏洞包括：Mozilla Rust資源管理錯(cuò)誤漏洞（CNVD-2021-85285、CNVD-2021-85301）、Mozilla Rust內(nèi)存損壞漏洞、Mozilla Rust命令注入漏洞（CNVD-2021-85287）、Mozilla Rust緩沖區(qū)溢出漏洞（CNVD-2021-85300、CNVD-2021-85299、CNVD-2021-85298、CNVD-2021-85297、）。其中“Mozilla Rust資源管理錯(cuò)誤漏洞（CNVD-2021-85301）”漏洞的綜合評(píng)級(jí)為“高危”。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85285

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85284

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85287

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85300

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85299

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85298

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85297

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85301

　　4、Google產(chǎn)品安全漏洞

　　Chrome是由Google開(kāi)發(fā)的一款Web瀏覽工具。本周，上述產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息，導(dǎo)致程序崩潰或者拒絕服務(wù)等。

　　CNVD收錄的相關(guān)漏洞包括：Google Chrome輸入驗(yàn)證不足漏洞（CNVD-2021-84801）、Google Chrome WebApp Installer實(shí)現(xiàn)不當(dāng)漏洞、Google Chrome釋放后重用漏洞（CNVD-2021-84803、CNVD-2021-84808）、Google Chrome iFrame Sandbox實(shí)現(xiàn)不當(dāng)漏洞、Google Chrome競(jìng)爭(zhēng)條件漏洞（CNVD-2021-84805）、Google Chrome越界讀取漏洞（CNVD-2021-84804）、Google Chrome Blink實(shí)現(xiàn)不當(dāng)漏洞（CNVD-2021-84806）。目前，廠商已經(jīng)發(fā)布了上述漏洞的修補(bǔ)程序。CNVD提醒用戶(hù)及時(shí)下載補(bǔ)丁更新，避免引發(fā)漏洞相關(guān)的網(wǎng)絡(luò)安全事件。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84801

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84800

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84803

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84802

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84805

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84804

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84806

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-84808

　　5、D-Link DIR-823G命令注入漏洞（CNVD-2021-85889）

　　D-Link DIR-823G是一款A(yù)C1200M雙頻千兆無(wú)線(xiàn)路由器。本周，DIR-823G被披露存在命令注入漏洞。攻擊者可通過(guò)登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。目前，廠商尚未發(fā)布上述漏洞的修補(bǔ)程序。CNVD提醒廣大用戶(hù)隨時(shí)關(guān)注廠商主頁(yè)，以獲取最新版本。

　　參考鏈接：

　　https://www.cnvd.org.cn/flaw/show/CNVD-2021-85889

　　小結(jié)：本周，IBM產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用該漏洞獲取受影響組件敏感信息，非法執(zhí)行SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)，越權(quán)訪(fǎng)問(wèn)“新作業(yè)”頁(yè)面，遠(yuǎn)程執(zhí)行代碼等。此外，Huawei、Mozilla、Google等多款產(chǎn)品被披露存在多個(gè)漏洞，攻擊者可利用漏洞導(dǎo)致進(jìn)程異常，劫持設(shè)備并偽造UI誘使用戶(hù)執(zhí)行惡意命令，在特定場(chǎng)景下處理證書(shū)文件時(shí)進(jìn)行命令注入，在目標(biāo)設(shè)備中執(zhí)行任意代碼，獲取數(shù)據(jù)庫(kù)敏感信息，導(dǎo)致程序崩潰或者拒絕服務(wù)等。另外，D-Link DIR-823G被披露存在命令注入漏洞。攻擊者可通過(guò)登錄部分的Captcha字段中的shell元字符利用該漏洞執(zhí)行任意Web腳本。建議相關(guān)用戶(hù)隨時(shí)關(guān)注上述廠商主頁(yè)，及時(shí)獲取修復(fù)補(bǔ)丁或解決方案。