信息安全漏洞周报(2024年第43期)
2024-10-23 22:56:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

点击蓝字 关注我们

漏洞情況

根据国家信息安全漏洞库(CNNVD)统计,本周2024年10月14日至2024年10月20日)安全漏洞情况如下:

公开漏洞情况
本周CNNVD采集安全漏洞768个。
接报漏洞情况

本周CNNVD接报漏洞3027个,其中信息技术产品漏洞(通用型漏洞)234个,网络信息系统漏洞(事件型漏洞)282个,漏洞平台推送漏洞2511个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞768个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有303个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到16.41%。新增漏洞中,超危漏洞78个,高危漏洞221个,中危漏洞432个,低危漏洞37个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞768个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有303个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
303
39.45%
2
Oracle
85
11.07%
3
PHPGurukul
17
2.21%
4
谷歌
14
1.82%
5
友讯
12
1.56%

本周国内厂商漏洞56个,友讯公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为37.50%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到16.41%。漏洞类型统计如表2所示。

表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
126
16.41%
2
SQL注入
64
8.33%
3
代码问题
55
7.16%
4
跨站请求伪造
37
4.82%
5
信息泄露
12
1.56%
6
信任管理问题
11
1.43%
7
路径遍历
9
1.17%
8
代码注入
8
1.04%
9
操作系统命令注入
8
1.04%
10
访问控制错误
8
1.04%
11
输入验证错误
6
0.78%
12
授权问题
5
0.65%
13
安全特征问题
2
0.26%
14
命令注入
2
0.26%
15
缓冲区错误
2
0.26%
16
加密问题
2
0.26%
17
日志信息泄露
1
0.13%
18
资源管理错误
1
0.13%
19
其他
409
53.26%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞78个,高危漏洞221个,中危漏洞432个,低危漏洞37个。相应修复率分别为91.03%、90.95%、79.40%和91.89%。根据补丁信息统计,合计649个漏洞已有修复补丁发布,整体修复率为84.51%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
78
71
91.03%
2
高危
221
201
90.95%
3
中危
432
343
79.40%
4
低危
37
34
91.89%
合计
768
649
84.51%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202410-1615

超危

2

CNNVD-202410-1535

高危

3

CNNVD-202410-1545

高危

1. WordPress plugin Frontend File Manager 代码问题漏洞(CNNVD-202410-1615)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Frontend File Manager 4.0版本存在代码问题漏洞,该漏洞源于nm_filemanager_upload_file和nm_postfront_upload_file函数缺少对文件类型的验证。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

id/2c1e6298-f243-49a5-b1b7-52bd6a6c8858?source=cve

2. Google Chrome 安全漏洞(CNNVD-202410-1535)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 130.0.6723.58之前版本存在安全漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以通过特制的HTML页面导致堆损坏。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_15.html

3. Microsoft Dataverse 授权问题漏洞(CNNVD-202410-1545)

Microsoft Dataverse是美国微软(Microsoft)公司的一个云基于的数据平台,用于共享、保存、引用、探索和分析研究数据。

Microsoft Dataverse存在授权问题漏洞,该漏洞源于身份验证不正确。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://msrc.microsoft.com/update-guide/vulnerability/

CVE-2024-38139


漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞2511个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
2468
2
补天平台
43
推送总计
2511


接报漏洞情况

本周CNNVD接报漏洞516个,其中信息技术产品漏洞(通用型漏洞)234个,网络信息系统漏洞(事件型漏洞)282个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
内蒙古中叶信息技术有限责任公司
250
2
个人
48
3
宁波和利时信息安全研究院有限公司
48
4
华为技术有限公司
27
5
内蒙古启正信息科技有限公司
9
6
北京天融信网络安全技术有限公司
9
7
浙江国利网安科技有限公司
9
8
苏州棱镜七彩信息科技有限公司
8
9
广州理是科技有限公司
7
10
安全邦(北京)信息技术有限公司
7
11
杭州安恒信息技术股份有限公司
5
12
河南灵创电子科技有限公司
5
13
东方电气中能工控网络安全技术(成都)有限责任公司
5
14
三六零数字安全科技集团有限公司
4
15
北京知道创宇信息技术股份有限公司
4
16
上海云盾信息技术有限公司
4
17
北京长亭科技有限公司
4
18
广州竞远安全技术股份有限公司
4
19
上海谋乐网络科技有限公司
3
20
联通数字科技有限公司
3
21
北京容辉智信科技有限公司
3
22
安恒愿景(成都)信息科技有限公司
3
23
北京微步在线科技有限公司
2
24
上海戟安科技有限公司
2
25
北京华云安信息技术有限公司
2
26
浙江大华技术股份有限公司
2
27
苏州亿阳值通科技发展股份有限公司
2
28
贵州粟詈网络科技有限公司
2
29
中资网络信息安全科技有限公司
2
30
深圳万物安全科技有限公司
2
31
远江盛邦(北京)网络安全科技股份有限公司
2
32
数字新时代(山东)数据科技服务有限公司
2
33
江苏讯安信息安全技术有限公司
2
34
深圳市深信服信息安全有限公司
2
35
锐捷网络股份有限公司
2
36
成都卫士通信息安全技术有限公司
1
37
北京有略安全技术有限公司
1
38
深圳昂楷科技有限公司
1
39
龙岩市鲸之云盾互联网服务有限公司
1
40
京铁云智慧物流科技有限公司
1
41
中国移动通信集团海南有限公司
1
42
广西网信信息技术有限公司
1
43
中电云计算技术有限公司
1
44
奇安信网神信息技术(北京)股份有限公司
1
45
天地伟业技术有限公司
1
46
北京云科安信科技有限公司
1
47
郑州埃文科技有限公司
1
48
南京南自数安技术有限公司
1
49
山石网科通信技术股份有限公司
1
50
杭州海康威视数字技术股份有限公司
1
51
北京启明星辰信息安全技术有限公司
1
52
深信服科技股份有限公司
1
53
福建银数信息技术有限公司
1
54
途耀信息技术(上海)有限公司
1
55
赛尔网络有限公司
1
56
云上广济(贵州)信息技术有限公司
1
报送总计
516

收录漏洞通报情况

本周CNNVD收录漏洞通报101份。

表7 本周漏洞通报情况
序号
报送单位
通报总量
1
中孚安全技术有限公司
10
2
安恒愿景(成都)信息科技有限公司
8
3
深圳开源互联网安全技术有限公司
7
4
内蒙古启正信息科技有限公司
6
5
内蒙古思沃科技有限公司
5
6
杭州迪普科技股份有限公司
4
7
成方金融信息技术服务有限公司
3
8
贵州泰若数字科技有限公司
3
9
新基信息技术集团股份有限公司
3
10
浙江大华技术股份有限公司
3
11
杭州安恒信息技术股份有限公司
3
12
北京墨云科技有限公司
3
13
云上广济(贵州)信息技术有限公司
3
14
湖南中测网安信息技术有限公司
2
15
北京安天网络安全技术有限公司
2
16
北京中科卓信软件测评技术中心
2
17
苏州亿阳值通科技发展股份有限公司
2
18
西安交大捷普网络科技有限公司
2
19
河南听潮盛世信息技术有限公司
2
20
成都安美勤信息技术股份有限公司
2
21
厦门聚丁科技有限公司
2
22
杭州默安科技有限公司
1
23
中国移动通信集团海南有限公司
1
24
深圳市深信服信息安全有限公司
1
25
北京华云安信息技术有限公司
1
26
北京世纪超星信息技术发展有限责任公司
1
27
北京聚信得仁科技有限公司
1
28
华为技术有限公司
1
29
浪潮电子信息产业股份有限公司
1
30
博智安全科技股份有限公司
1
31
湖北肆安科技有限公司
1
32
北京天地和兴科技有限公司
1
33
北京神州绿盟科技有限公司
1
34
江苏保旺达软件技术有限公司
1
35
维安(山东)数字技术有限公司
1
36
北京比瓴科技有限公司
1
37
北京赛博昆仑科技有限公司
1
38
奇安信网神信息技术(北京)股份有限公司
1
39
深信服科技股份有限公司
1
40
北京长亭科技有限公司
1
41
杭州海康威视数字技术股份有限公司
1
42
北京天防安全科技有限公司
1
43
北京山石网科信息技术有限公司
1
44
信元网络技术股份有限公司
1
45
河南灵创电子科技有限公司
1
收录总计
101

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457644&idx=1&sn=78e7409d1b471974135b9fc3bab5f7c5&chksm=802c4944b75bc0520dc46d82df113ddd53fcd30b57b5bf2677ed7eafad9c1ff7bf44b7ace684&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh