信息安全漏洞月报(2024年11月)
2024-12-4 19:25:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

点击蓝字 关注我们

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2024年11月采集安全漏洞共3920个。
本月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。漏洞平台推送漏洞93384个。
重大漏洞通报
Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202411-2328/CVE-2024-0012):Palo Alto Networks PAN-OS存在安全漏洞,该漏洞源于存在身份验证绕过问题,导致攻击者能够获得PAN-OS管理员权限,以执行管理操作和篡改配置等。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.paloaltonetworks.com/CVE-2024-0012

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2024年11月新增安全漏洞共3920个,从厂商分布来看,WordPress漏洞数量最多,共发布1055个;从漏洞类型来看,跨站脚本漏洞占比最大,达到14.82%。本月新增漏洞中,超危漏洞238个、高危漏洞988个、中危漏洞2544个、低危漏洞150个,相应修复率分别为74.37%、70.05%、71.86%以及66.67%。合计2797个漏洞已有修复补丁发布,本月整体修复率71.36%。

1.1 漏洞增长概况

2024年11月新增安全漏洞3920个,与上月(3570个)相比增加了9.81%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3174个。

图1  2024年06月至2024年11月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2024年11月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到1055个,占本月漏洞总量26.91%。

表1  2024年11月新增漏洞排名前十厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress
1055
26.91%
2
Linux
281
7.17%
3
Microsoft
97
2.47%
4
Google
85
2.17%
5
Intel
79
2.02%
6
Adobe
57
1.45%
7
NETGEAR
49
1.25%
8
Ivanti
49
1.25%
9
PDF-XChange
39
1.00%
10
Cisco
36
0.92%

1.2.2 漏洞类型分布

2024年11月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为14.82%。

表2  2024年11月漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
581
14.82%
2
缓冲区错误
177
4.52%
3
代码问题
164
4.18%
4
SQL注入
108
2.76%
5
路径遍历
71
1.81%
6
跨站请求伪造
68
1.74%
7
注入
63
1.61%
8
资源管理错误
60
1.53%
9
输入验证错误
48
1.22%
10
代码注入
43
1.10%
11
访问控制错误
42
1.07%
12
操作系统命令注入
42
1.07%
13
授权问题
37
0.94%
14
信息泄露
35
0.89%
15
后置链接
26
0.66%
16
命令注入
20
0.51%
17
信任管理问题
13
0.33%
18
日志信息泄露
9
0.23%
19
权限许可和访问控制问题
7
0.18%
20
格式化字符串错误
7
0.18%
21
参数注入
6
0.15%
22
数据伪造问题
5
0.13%
23
加密问题
4
0.10%
24
数字错误
2
0.05%
25
竞争条件问题
2
0.05%
26
安全特征问题
2
0.05%
27
环境问题
2
0.05%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2024年11月漏洞危害等级分布情况如图2所示,其中超危漏洞238个,占本月漏洞总量6.07%。

图2  2024年11月漏洞危害等级分布图

1.3 漏洞修复情况

1.3.1 整体修复情况

2024年11月各危害等级修复情况如图3所示,低危漏洞修复率最高,为74.37%,超危漏洞修复率最低,为66.67%。

总体来看,本月整体修复率由上月的81.43%下降至本月的71.36%。

图3  2024年11月各危害等级修复情况统计图

1.3.2 厂商修复情况

2024年11月新增漏洞数量排名前十厂商修复情况如表3所示,合计1827个漏洞,占本月漏洞总量46.61%,平均修复率为96.38%。

表3  2024年11月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量(个)
修复率
1
WordPress
1055
683
64.74%
2
Linux
281
281
100.00%
3
Microsoft
97
96
98.97%
4
Google
85
85
100.00%
5
Intel
79
79
100.00%
6
Adobe
57
57
100.00%
7
NETGEAR
49
49
100.00%
8
Ivanti
49
49
100.00%
9
PDF-XChange
39
39
100.00%
10
Cisco
36
36
100.00%

接报漏洞情况

2024年11月接报漏洞1825个,其中信息技术产品漏洞(通用型漏洞)1287个,网络信息系统漏洞(事件型漏洞)538个。详情如表4所示。

表4  2024年11月接报漏洞情况表
序号
报送单位
漏洞数量
1
内蒙古奥创科技有限公司
279
2
个人
262
3
宁波和利时信息安全研究院有限公司
146
4
超聚变数字技术有限公司
80
5
内蒙古旌云科技有限公司
68
6
北京天融信网络安全技术有限公司
60
7
北京华顺信安信息技术有限公司
39
8
北京华云安信息技术有限公司
35
9
广州纬安科技有限公司
32
10
华为技术有限公司
31
11
北京启明星辰信息安全技术有限公司
26
12
上海谋乐网络科技有限公司
25
13
苏州棱镜七彩信息科技有限公司
24
14
奇安信网神信息技术(北京)股份有限公司
22
15
广州非凡信息安全技术有限公司
22
16
星云博创科技有限公司
21
17
京铁云智慧物流科技有限公司
20
18
广州竞远安全技术股份有限公司
20
19
杭州戎戍网络安全技术有限公司
19
20
河南灵创电子科技有限公司
19
21
杭州美创科技股份有限公司
17
22
苏州如意云网络科技有限公司
16
23
上海云盾信息技术有限公司
15
24
北京安帝科技有限公司
15
25
安恒愿景(成都)信息科技有限公司
15
26
北京江南天安科技有限公司
15
27
杭州迪普科技股份有限公司
15
28
天地伟业技术有限公司
13
29
天津市兴先道科技有限公司
12
30
北京浩瀚深度信息技术股份有限公司
11
31
北京国科数安科技有限公司
11
32
北京长亭科技有限公司
11
33
联通数字科技有限公司
11
34
中资网络信息安全科技有限公司
10
35
上海雾见安全科技有限公司
10
36
北京世纪超星信息技术发展有限责任公司
10
37
深信服科技股份有限公司
10
38
北京水木羽林科技有限公司
10
39
上海斗象信息科技有限公司
9
40
网宿科技股份有限公司
9
41
河南东方云盾信息技术有限公司
9
42
途耀信息技术(上海)有限公司
9
43
三六零数字安全科技集团有限公司
8
44
北京中睿天下信息技术有限公司
8
45
北京网御星云信息技术有限公司
8
46
江苏保旺达软件技术有限公司
8
47
中国电信股份有限公司网络安全产品运营中心
7
48
北京安信天行科技有限公司
7
49
北京时代新威信息技术有限公司
7
50
成都安美勤信息技术股份有限公司
7
51
北京知道创宇信息技术股份有限公司
7
52
杭州安恒信息技术股份有限公司
7
53
上海矢安科技有限公司
6
54
北京卓识网安技术股份有限公司
6
55
内蒙古万邦信息安全技术有限公司
6
56
北京君云天下科技有限公司
6
57
北京神州绿盟科技有限公司
6
58
南京众智维信息科技有限公司
6
59
永信至诚科技集团股份有限公司
6
60
北京金睛云华科技有限公司
6
61
中科方德软件有限公司
5
62
华易数安科技(吉林省)有限公司
5
63
温州市数据集团有限公司
5
64
河南省鼎信信息安全等级测评有限公司
5
65
泉州延陵信息技术有限公司
5
66
内蒙古数字安全科技有限公司
5
67
湖南泛联新安信息科技有限公司
5
68
卫士通(广州)信息安全技术有限公司
4
69
成都思维世纪科技有限责任公司
4
70
杭州海康威视数字技术股份有限公司
4
71
北京天防安全科技有限公司
4
72
浪潮电子信息产业股份有限公司
4
73
工业和信息化部电子第五研究所
4
74
甘肃赛飞安全科技有限公司
4
75
成都卫士通信息安全技术有限公司
4
76
上海纽盾科技股份有限公司
3
77
上海安几科技有限公司
3
78
京数安(北京)科技有限公司
3
79
北京天下信安技术有限公司
3
80
北京安天网络安全技术有限公司
3
81
博智安全科技股份有限公司
3
82
深圳市深信服信息安全有限公司
3
83
广西百色英晖科技有限公司
3
84
深圳市魔方安全科技有限公司
3
85
广州安道信息技术有限公司
3
86
数字新时代(山东)数据科技服务有限公司
3
87
甘肃丝路信安数字科技有限公司
3
88
北京纽盾网安信息技术有限公司
3
89
广州理是科技有限公司
3
90
北京众安天下科技有限公司
3
91
锐捷网络股份有限公司
3
92
北京触点互动信息技术有限公司
3
93
长扬科技(北京)股份有限公司
3
94
上海计算机软件技术开发中心
2
95
中兴通讯股份有限公司
2
96
北京安华金和科技有限公司
2
97
宁夏凯信特信息科技有限公司
2
98
江苏通付盾信息安全技术有限公司
2
99
远江盛邦(北京)网络安全科技股份有限公司
2
100
苏州市莫张信息科技有限责任公司
2
101
浙江大华技术股份有限公司
2
102
湖南网鼎科技有限公司
2
103
重庆嘉天琪科技有限公司
2
104
贵州多彩网安科技有限公司
2
105
北京昊网科技有限公司
2
106
北京威努特技术有限公司
2
107
山西轩辕信息安全技术有限公司
2
108
北京安普诺信息技术有限公司
2
109
杭州中电安科现代科技有限公司
2
110
苏州亿阳值通科技发展股份有限公司
2
111
西安交大捷普网络科技有限公司
2
112
北京寰宇天穹信息技术有限公司
2
113
维安(山东)数字技术有限公司
2
114
星舟有信(北京)信息技术有限公司
2
115
江苏正信信息安全测试有限公司
2
116
东方电气中能工控网络安全技术
(成都)有限责任公司
1
117
云南启安科技有限公司
1
118
上海戎磐网络科技有限公司
1
119
九州安连(北京)科技有限公司
1
120
北京源堡科技有限公司
1
121
北京珞安科技有限责任公司
1
122
哈尔滨安信咨询有限公司
1
123
合肥天帷信息安全技术有限公司
1
124
联通数字科技有限公司
1
125
塞讯信息技术(上海)有限公司
1
126
超聚变数字技术有限公司
1
127
广西网信信息技术有限公司
1
128
浙江极安信息科技有限公司
1
129
浙江鑫诺检测技术有限公司
1
130
内蒙古洞明科技有限公司
1
131
深圳市博通智能技术有限公司
1
132
贵州粟詈网络科技有限公司
1
133
贵州蓝天创新科技有限公司
1
134
西安安迈信科科技有限公司
1
135
广州理想资讯科技有限公司
1
136
南京赛宁信息技术有限公司
1
137
北京墨云科技有限公司
1
138
河南听潮盛世信息技术有限公司
1
139
杭州默安科技有限公司
1
140
安徽数安系统集成有限公司
1

报送合计
1825

漏洞通报情况 

3.1 通报情况

2024年11月接报通报776个,详情情况如表5所示。

表5  2024年11月接报通报情况表
序号
报送单位
通报数量
1
中孚安全技术有限公司
62
2
北京华顺信安信息技术有限公司
37
3
奇安信网神信息技术(北京)股份有限公司
33
4
安恒愿景(成都)信息科技有限公司
28
5
杭州迪普科技股份有限公司
27
6
网宿科技股份有限公司
23
7
内蒙古中叶信息技术有限责任公司
20
8
超聚变数字技术有限公司
18
9
深信服科技股份有限公司
18
10
北京神州绿盟科技有限公司
18
11
西安交大捷普网络科技有限公司
16
12
杭州中电安科现代科技有限公司
15
13
中科方德软件有限公司
14
14
浙江大华技术股份有限公司
14
15
北京安帝科技有限公司
13
16
华为技术有限公司
13
17
西安秦易信息技术有限公司
12
18
杭州美创科技股份有限公司
11
19
河南省鼎信信息安全等级测评有限公司
11
20
北京华云安信息技术有限公司
11
21
北京网御星云信息技术有限公司
11
22
河南灵创电子科技有限公司
10
23
中电信数智科技有限公司
10
24
江西中和证信息安全技术有限公司
10
25
河南东方云盾信息技术有限公司
9
26
湖南省金盾信息安全等级保护评估中心有限公司
9
27
深圳市能信安科技股份有限公司
9
28
河南悦海数安科技有限公司
8
29
宁波和利时信息安全研究院有限公司
8
30
广西网信信息技术有限公司
8
31
北京众安天下科技有限公司
7
32
信元网络技术股份有限公司
7
33
江苏通付盾信息安全技术有限公司
7
34
北京边界无限科技有限公司
7
35
江苏嘉玖信息科技有限公司
7
36
新华三技术有限公司
7
37
南京众智维信息科技有限公司
7
38
北京安信天行科技有限公司
7
39
杭州海康威视数字技术股份有限公司
6
40
广州理是科技有限公司
6
41
杭州安恒信息技术股份有限公司
6
42
广西百色英晖科技有限公司
6
43
广州松杨云创科技有限公司
5
44
郑州埃文科技有限公司
5
45
北京墨云科技有限公司
5
46
北京山石网科信息技术有限公司
5
47
长扬科技(北京)股份有限公司
5
48
成都思维世纪科技有限责任公司
5
49
江苏保旺达软件技术有限公司
5
50
上海云盾信息技术有限公司
5
51
北京浩瀚深度信息技术股份有限公司
5
52
维安(山东)数字技术有限公司
5
53
厦门服云信息科技有限公司
5
54
工业和信息化部电子第五研究所
5
55
数字新时代(山东)数据科技服务有限公司
4
56
博智安全科技股份有限公司
4
57
广东省信息安全测评中心
4
58
北京水木羽林科技有限公司
4
59
云南启安科技有限公司
4
60
天地伟业技术有限公司
4
61
北京天防安全科技有限公司
4
62
北京时代新威信息技术有限公司
4
63
温州市数据集团有限公司
4
64
京数安(北京)科技有限公司
3
65
北京容辉智信科技有限公司
3
66
腾讯云计算(北京)有限责任公司
3
67
国威(北京)信息安全技术有限公司
3
68
安徽三实软件科技有限公司
3
69
河南听潮盛世信息技术有限公司
3
70
广州安道信息技术有限公司
3
71
北京触点互动信息技术有限公司
3
72
北京安天网络安全技术有限公司
3
73
锐捷网络股份有限公司
3
74
京铁云智慧物流科技有限公司
3
75
途耀信息技术(上海)有限公司
3
76
内蒙古洞明科技有限公司
3
77
深圳建安润星安全技术有限公司
3
78
云南南天电子信息产业股份有限公司
3
79
敦和安全科技(武汉)有限公司
3
80
北京纽盾网安信息技术有限公司
3
81
深圳市深信服信息安全有限公司
3
82
上海纽盾科技股份有限公司
3
83
北京知道创宇信息技术股份有限公司
3
84
成方金融信息技术服务有限公司
3
85
内蒙古旌云科技有限公司
2
86
云上广济(贵州)信息技术有限公司
2
87
成都安美勤信息技术股份有限公司
2
88
华易数安科技(吉林省)有限公司
2
89
北京天融信网络安全技术有限公司
2
90
北京六方云信息技术有限公司
2
91
塞讯信息技术(上海)有限公司
2
92
上海矢安科技有限公司
2
93
广州非凡信息安全技术有限公司
2
94
浪潮电子信息产业股份有限公司
1
95
苏州棱镜七彩信息科技有限公司
1
96
任子行网络技术股份有限公司
1
97
北京君云天下科技有限公司
1
98
快页信息技术有限公司
1
99
北方实验室(沈阳)股份有限公司
1
100
北京微步在线科技有限公司
1
101
贵州蓝天创新科技有限公司
1
102
北京天下信安技术有限公司
1
103
甘肃丝路信安数字科技有限公司
1
104
成都卫士通信息安全技术有限公司
1
105
上海谋乐网络科技有限公司
1
106
北京信联数安科技有限公司
1

报送合计
776

3.2 重要漏洞

表6  2024年11月重要漏洞表
序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
ProjectSend 安全漏洞
CNNVD-202411-3574/
CVE-2024-11680
超危
2
7-Zip 数字错误漏洞
CNNVD-202411-3145/
CVE-2024-11477
高危
3
needrestart 权限许可和访问控制问题漏洞
CNNVD-202411-2671/
CVE-2024-48990
高危
4
Palo Alto Networks PAN-OS 安全漏洞
CNNVD-202411-2328/
CVE-2024-0012
超危
5
PostgreSQL 安全漏洞
CNNVD-202411-1889/
CVE-2024-10979
高危
6
NETGEAR R8500、XR300、R7000P和R6400v2 安全漏洞
CNNVD-202411-552/
CVE-2024-52022
高危


漏洞平台推送情况

2024年11月漏洞平台推送漏洞93384个。详情如表7所示。

表7  2024年11月漏洞平台推送情况表

序号
漏洞平台
漏洞总量
1
补天平台
60804
2
漏洞盒子
29714
3
360漏洞云
2866

推送总计
93384

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651461963&idx=1&sn=203cd41e8d0df5d658325df01da13a8a&chksm=802c5863b75bd1753b1f3cb2272e457b600b69e3e558c7a4043ecaf25b73b14197426e6fdc07&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh