信息安全漏洞周报(2024年第49期)
2024-12-4 19:25:0 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月25日至2024年12月1日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞483个。
接报漏洞情况
本周CNNVD接报漏洞50088个,其中信息技术产品漏洞(通用型漏洞)320个,网络信息系统漏洞(事件型漏洞)36个,漏洞平台推送漏洞49732个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞483个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有111个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到14.49%。新增漏洞中,超危漏洞15个,高危漏洞53个,中危漏洞404个,低危漏洞11个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞483个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有111个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
111
22.98%
2
研华
20
4.14%
3
Mozilla基金会
20
4.14%
4
Fuji Electric
20
4.14%
5
Zabbix
14
2.90%

本周国内厂商漏洞46个,研华公司漏洞数量最多,有20个。国内厂商漏洞整体修复率为56.52%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到14.49%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
70
14.49%
2
注入
17
3.52%
3
代码问题
13
2.69%
4
SQL注入
11
2.28%
5
缓冲区错误
11
2.28%
6
代码注入
11
2.28%
7
路径遍历
8
1.66%
8
跨站请求伪造
7
1.45%
9
授权问题
5
1.04%
10
信息泄露
4
0.83%
11
资源管理错误
3
0.62%
12
信任管理问题
3
0.62%
13
输入验证错误
3
0.62%
14
访问控制错误
3
0.62%
15
加密问题
1
0.21%
16
操作系统命令注入
1
0.21%
17
格式化字符串错误
1
0.21%
18
后置链接
1
0.21%
19
数据伪造问题
1
0.21%
20
环境问题
1
0.21%
21
其他
308
63.77%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞15个,高危漏洞53个,中危漏洞404个,低危漏洞11个。相应修复率分别为80.00%、58.49%、69.80%和90.91%。根据补丁信息统计,合计335个漏洞已有修复补丁发布,整体修复率为69.36%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
15
12
80.00%
2
高危
53
31
58.49%
3
中危
404
282
69.80%
4
低危
11
10
90.91%

合计

483
335
69.36%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号
危害等级
1
CNNVD-202411-3878
超危
2
CNNVD-202411-3663
高危
3
CNNVD-202411-3795
高危

1. IBM Security Verify Access 信任管理问题漏洞(CNNVD-202411-3878)

IBM Security Verify Access(ISAM)是美国国际商业机器(IBM)公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。

IBM Security Verify Access 10.0.0版本至10.0.8版本存在信任管理问题漏洞,该漏洞源于允许使用硬编码凭证,如密码或加密密钥。攻击者利用该漏洞可以获取敏感信息。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/7177447

2. Microsoft Partner Center 安全漏洞(CNNVD-202411-3663)

Microsoft Partner Center是美国微软(Microsoft)公司的一个在线平台。

Microsoft Partner Center存在安全漏洞,该漏洞源于访问控制不当。攻击者利用该漏洞可以通过网络提升权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49035

3. WordPress plugin File Manager Pro – Filester 代码问题漏洞(CNNVD-202411-3795)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin File Manager Pro – Filester 1.8.4版本及之前版本存在代码问题漏洞,该漏洞源于fsConnector函数缺少验证。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

id/27288836-e5d3-49fc-b1f6-319ea3b70839?source=cve

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞49732个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
补天平台
47854
2
漏洞盒子
1779
3
360漏洞云
99
推送总计
49732

接报漏洞情况

本周CNNVD接报漏洞356个,其中信息技术产品漏洞(通用型漏洞)320个,网络信息系统漏洞(事件型漏洞)36个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
宁波和利时信息安全研究院有限公司
96
2
个人
57
3
广州纬安科技有限公司
21
4
苏州如意云网络科技有限公司
15
5
苏州棱镜七彩信息科技有限公司
14
6
奇安信网神信息技术(北京)股份有限公司
12
7
北京国科数安科技有限公司
9
8
北京华云安信息技术有限公司
9
9
杭州迪普科技股份有限公司
8
10
华为技术有限公司
7
11
北京天融信网络安全技术有限公司
7
12
河南东方云盾信息技术有限公司
6
13
广州理是科技有限公司
6
14
北京华顺信安信息技术有限公司
6
15
河南灵创电子科技有限公司
5
16
江苏保旺达软件技术有限公司
5
17
华易数安科技(吉林省)有限公司
4
18
上海谋乐网络科技有限公司
4
19
广州竞远安全技术股份有限公司
4
20
北京中睿天下信息技术有限公司
3
21
泉州延陵信息技术有限公司
3
22
中资网络信息安全科技有限公司
3
23
深圳市魔方安全科技有限公司
3
24
安恒愿景(成都)信息科技有限公司
3
25
途耀信息技术(上海)有限公司
3
26
联通数字科技有限公司
3
27
北京君云天下科技有限公司
2
28
上海云盾信息技术有限公司
2
29
北京安帝科技有限公司
2
30
北京神州绿盟科技有限公司
2
31
苏州市莫张信息科技有限责任公司
2
32
北京安天网络安全技术有限公司
2
33
北京昊网科技有限公司
2
34
深信服科技股份有限公司
2
35
西安交大捷普网络科技有限公司
2
36
北京长亭科技有限公司
2
37
杭州美创科技股份有限公司
2
38
甘肃丝路信安数字科技有限公司
2
39
天津市兴先道科技有限公司
1
40
成都安美勤信息技术股份有限公司
1
41
数字新时代(山东)数据科技服务有限公司
1
42
北京源堡科技有限公司
1
43
甘肃赛飞安全科技有限公司
1
44
湖南网鼎科技有限公司
1
45
安徽数安系统集成有限公司
1
46
锐捷网络股份有限公司
1
47
杭州默安科技有限公司
1
48
哈尔滨安信咨询有限公司
1
49
山西轩辕信息安全技术有限公司
1
50
广州理想资讯科技有限公司
1
51
长扬科技(北京)股份有限公司
1
52
塞讯信息技术(上海)有限公司
1
53
杭州海康威视数字技术股份有限公司
1
54
江苏正信信息安全测试有限公司
1
报送总计
356

收录漏洞通报情况

本周CNNVD收录漏洞通报91份。

表7 本周漏洞通报情况

序号

报送单位
通报总量
1
奇安信网神信息技术(北京)股份有限公司
10
2
中孚安全技术有限公司
9
3
北京神州绿盟科技有限公司
8
4
网宿科技股份有限公司
7
5
江苏嘉玖信息科技有限公司
4
6
广州安道信息技术有限公司
3
7
北京华云安信息技术有限公司
3
8
杭州美创科技股份有限公司
3
9
安恒愿景(成都)信息科技有限公司
3
10
北京触点互动信息技术有限公司
3
11
成都思维世纪科技有限责任公司
3
12
中科方德软件有限公司
3
13
安徽三实软件科技有限公司
2
14
深信服科技股份有限公司
2
15
广州理是科技有限公司
2
16
湖南省金盾信息安全等级保护评估中心有限公司
2
17
北京容辉智信科技有限公司
2
18
北京墨云科技有限公司
2
19
上海云盾信息技术有限公司
2
20
新华三技术有限公司
2
21
西安秦易信息技术有限公司
1
22
长扬科技(北京)股份有限公司
1
23
锐捷网络股份有限公司
1
24
杭州迪普科技股份有限公司
1
25
上海矢安科技有限公司
1
26
华为技术有限公司
1
27
北京天融信网络安全技术有限公司
1
28
深圳市能信安科技股份有限公司
1
29
北京安天网络安全技术有限公司
1
30
北京山石网科信息技术有限公司
1
31
北京天防安全科技有限公司
1
32
北京水木羽林科技有限公司
1
33
国威(北京)信息安全技术有限公司
1
34
杭州海康威视数字技术股份有限公司
1
35
河南省鼎信信息安全等级测评有限公司
1
36
任子行网络技术股份有限公司
1
收录总计
91

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651461963&idx=2&sn=477e8872c1f04b2e609013941a980248&chksm=802c5863b75bd17518daf169b172342957b77429430aa1b4fc037eb2764b97b63693f007d576&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh