信息安全漏洞周报(2024年第51期)
2024-12-18 08:16:0 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月9日至2024年12月15日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1265个。
接报漏洞情况
本周CNNVD接报漏洞28587个,其中信息技术产品漏洞(通用型漏洞)293个,网络信息系统漏洞(事件型漏洞)67个,漏洞平台推送漏洞28227个。
重大漏洞通报
Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677):成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件。Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1265个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有561个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到22.06%。新增漏洞中,超危漏洞73个,高危漏洞318个,中危漏洞847个,低危漏洞27个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1265个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有561个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
561
44.35%
2
Adobe
163
12.89%
3
微软
73
5.77%
4
苹果
53
4.19%
5
GStreamer
29
2.29%

本周国内厂商漏洞44个,华为公司漏洞数量最多,有24个。国内厂商漏洞整体修复率为79.55%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到22.06%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量()
所占比例
1
跨站脚本
279
22.06%
2
缓冲区错误
54
4.27%
3
代码问题
42
3.32%
4
输入验证错误
23
1.82%
5
跨站请求伪造
19
1.50%
6
资源管理错误
17
1.34%
7
SQL注入
17
1.34%
8
访问控制错误
15
1.19%
9
数字错误
13
1.03%
10
注入
11
0.87%
11
代码注入
10
0.79%
12
授权问题
8
0.63%
13
信息泄露
7
0.55%
14
路径遍历
7
0.55%
15
后置链接
3
0.24%
16
加密问题
2
0.16%
17
数据伪造问题
2
0.16%
18
竞争条件问题
2
0.16%
19
权限许可和访问控制问题
1
0.08%
20
环境问题
1
0.08%
21
日志信息泄露
1
0.08%
22
信任管理问题
1
0.08%
23
命令注入
1
0.08%
24
其他
729
57.63%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞73个,高危漏洞318个,中危漏洞847个,低危漏洞27个。相应修复率分别为65.75%、90.88%、90.91%和81.48%。根据补丁信息统计,合计1129个漏洞已有修复补丁发布,整体修复率为89.25%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量()
修复率
1
超危
73
48
65.75%
2
高危
318
289
90.88%
3
中危
847
770
90.91%
4
低危
27
22
81.48%
合计
1265
1129
89.25%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号
危害等级
1
CNNVD-202412-1567
超危
2
CNNVD-202412-1143
高危
3
CNNVD-202412-1266
高危

1. WordPress plugin Vayu Blocks 访问控制错误漏洞(CNNVD-202412-1567)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Vayu Blocks 1.1.1版本及之前版本存在访问控制错误漏洞,该漏洞源于缺少对tp_install函数的功能检查。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/threat-intel/vulnerabilities/id/81e7ab80-7df2-4ef4-80ee-a11d057151c4?source=cve

2. Adobe Animate 代码问题漏洞(CNNVD-202412-1143)

Adobe Animate是美国奥多比(Adobe)公司的一套Flash动画制作软件。
Adobe Animate 24.0.5版本及之前版本存在代码问题漏洞,该漏洞源于空指针取消引用。攻击者利用该漏洞可以在当前用户的环境中执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/animate/apsb24-96.html

3. Microsoft Office 资源管理错误漏洞(CNNVD-202412-1266)

Microsoft Office是美国微软(Microsoft)公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。

Microsoft Office存在资源管理错误漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Microsoft Office 2019 for 32-bit editions,Microsoft Office 2019 for 64-bit editions,Microsoft 365 Apps for Enterprise for 32-bit Systems,Microsoft 365 Apps for Enterprise for 64-bit Systems,Microsoft Office LTSC 2021 for 64-bit editions,Microsoft Office LTSC 2021 for 32-bit editions,Microsoft Office LTSC 2024 for 32-bit editions,Microsoft Office LTSC 2024 for 64-bit editions,Microsoft Access 2016 (32-bit edition),Microsoft Access 2016 (64-bit edition)。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49142

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞28227个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
漏洞盒子
23181
2
补天平台
3679
3
360漏洞云
1367
推送总计
28227

接报漏洞情况

本周CNNVD接报漏洞360个,其中信息技术产品漏洞(通用型漏洞)293个,网络信息系统漏洞(事件型漏洞)67个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
个人
63
2
内蒙古旌云科技有限公司
31
3
广州纬安科技有限公司
28
4
开源网安物联网技术(武汉)有限公司
16
5
内蒙古洞明科技有限公司
15
6
北京国科数安科技有限公司
13
7
浙江宇视科技有限公司
10
8
华为技术有限公司
7
9
北京边界无限科技有限公司
7
10
任子行网络技术股份有限公司
7
11
北京天下信安技术有限公司
7
12
塞讯信息技术(上海)有限公司
6
13
苏州棱镜七彩信息科技有限公司
6
14
上海巨耕信息技术有限公司
6
15
河南灵创电子科技有限公司
5
16
重庆梦之想科技有限责任公司
5
17
北京天融信网络安全技术有限公司
5
18
杰润鸿远(北京)科技有限公司
5
19
中兴通讯股份有限公司
5
20
北京启明星辰信息安全技术有限公司
5
21
南京赛宁信息技术有限公司
4
22
江苏网擎安全技术有限公司
4
23
广州竞远安全技术股份有限公司
4
24
南京国云电力有限公司
4
25
温州市数据集团有限公司
4
26
奇安信网神信息技术(北京)股份有限公司
4
27
北方实验室(沈阳)股份有限公司
3
28
河南听潮盛世信息技术有限公司
3
29
上海纽盾科技股份有限公司
3
30
途耀信息技术(上海)有限公司
3
31
杭州海康威视数字技术股份有限公司
3
32
京数安(北京)科技有限公司
3
33
北京纽盾网安信息技术有限公司
3
34
北京安普诺信息技术有限公司
3
35
烽台科技(北京)有限公司
3
36
广州理想资讯科技有限公司
2
37
中资网络信息安全科技有限公司
2
38
内蒙古中叶信息技术有限责任公司
2
39
杭州美创科技股份有限公司
2
40
北京世纪超星信息技术发展有限责任公司
2
41
北京安帝科技有限公司
2
42
上海斗象信息科技有限公司
2
43
北京金睛云华科技有限公司
2
44
成都安美勤信息技术股份有限公司
2
45
上海矢安科技有限公司
2
46
网宿科技股份有限公司
2
47
杭州迪普科技股份有限公司
2
48
泉州延陵信息技术有限公司
2
49
北京浩瀚深度信息技术股份有限公司
2
50
新华三技术有限公司
2
51
中质智通检测技术有限公司
2
52
万宗网络科技(上海)有限公司
1
53
中国移动通信集团海南有限公司
1
54
道普信息技术有限公司
1
55
贵州粟詈网络科技有限公司
1
56
上海戎磐网络科技有限公司
1
57
内蒙古启正信息科技有限公司
1
58
甘肃丝路信安数字科技有限公司
1
59
北京神州绿盟科技有限公司
1
60
赛尔网络有限公司
1
61
广州松杨云创科技有限公司
1
62
中国科学院软件研究所
1
63
北京赛博昆仑科技有限公司
1
64
北京雪诺科技有限公司
1
65
北京长亭科技有限公司
1
66
上海安几科技有限公司
1
67
北京安天网络安全技术有限公司
1
68
江苏正信信息安全测试有限公司
1
69
东方电气中能工控网络安全技术(成都)有限责任公司
1
70
西安安迈信科科技有限公司
1
71
河南东方云盾信息技术有限公司
1
72
浙江齐安信息科技有限公司
1
73
北京山石网科信息技术有限公司
1
74
北京云科安信科技有限公司
1
75
信元网络技术股份有限公司
1
76
上海三零卫士信息安全有限公司
1
报送总计
360

收录漏洞通报情况

本周CNNVD收录漏洞通报140份。

表7 本周漏洞通报情况

序号
报送单位
通报总量
1
奇安信网神信息技术(北京)股份有限公司
12
2
中孚安全技术有限公司
12
3
宁波和利时信息安全研究院有限公司
8
4
杭州迪普科技股份有限公司
8
5
广州网为信息技术有限公司
6
6
北京华云安信息技术有限公司
5
7
工业和信息化部电子第五研究所
5
8
杰润鸿远(北京)科技有限公司
5
9
云南南天电子信息产业股份有限公司
5
10
广州松杨云创科技有限公司
4
11
道普信息技术有限公司
3
12
西安交大捷普网络科技有限公司
3
13
北京边界无限科技有限公司
3
14
贵州蓝天创新科技有限公司
3
15
内蒙古旌云科技有限公司
3
16
北京神州绿盟科技有限公司
3
17
广州理想资讯科技有限公司
3
18
任子行网络技术股份有限公司
3
19
北京时代新威信息技术有限公司
2
20
北京微步在线科技有限公司
2
21
塞讯信息技术(上海)有限公司
2
22
安徽三实软件科技有限公司
2
23
广州纬安科技有限公司
2
24
深信服科技股份有限公司
2
25
南京众智维信息科技有限公司
2
26
北方实验室(沈阳)股份有限公司
2
27
北京天融信网络安全技术有限公司
2
28
广东省信息安全测评中心
2
29
成都安美勤信息技术股份有限公司
2
30
北京容辉智信科技有限公司
1
31
温州市数据集团有限公司
1
32
江苏网擎安全技术有限公司
1
33
北京有略安全技术有限公司
1
34
北京安帝科技有限公司
1
35
北京赛博昆仑科技有限公司
1
36
北京众安天下科技有限公司
1
37
江苏百达智慧网络科技有限公司
1
38
深圳建安润星安全技术有限公司
1
39
内蒙古洞明科技有限公司
1
40
新华三技术有限公司
1
41
北京知道创宇信息技术股份有限公司
1
42
途耀信息技术(上海)有限公司
1
43
北京国科数安科技有限公司
1
44
北京金睛云华科技有限公司
1
45
星舟有信(北京)信息技术有限公司
1
46
河南东方云盾信息技术有限公司
1
47
深圳市深信服信息安全有限公司
1
48
湖南中测网安信息技术有限公司
1
49
深圳昂楷科技有限公司
1
50
甘肃丝路信安数字科技有限公司
1
51
杭州安恒信息技术股份有限公司
1
52
云上广济(贵州)信息技术有限公司
1
53
华为技术有限公司
1
收录总计
140

重大漏洞通报

CNNVD关于Apache Struts安全漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts安全漏洞(CNNVD-202412-1393、CVE-2024-53677)情况的报送。成功利用漏洞的攻击者,可以操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件。Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受此漏洞影响。目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

1.漏洞介绍

Apache Struts是美国阿帕奇(Apache)软件基金会下属的Jakarta项目中的一个子项目,是一个基于MVC设计的Web应用框架。漏洞源于Apache Struts中的文件上传模块存在逻辑缺陷导致,未经授权的攻击者可以操纵文件上传参数来启用路径遍历,进而上传可用于执行远程利用代码的恶意文件,启用了FileUploadInterceptor模块的应用受此漏洞影响。

2.危害影响

Apache Struts 2.0.0-2.3.37版本、Apache Struts 2.5.0-2.5.33版本、Apache Struts 6.0.0-6.3.0.2版本均受此漏洞影响。

3.修复建议

目前,Apache官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方升级链接:

https://struts.apache.org/download.cgi


文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651462113&idx=1&sn=93c8155dfc2d56ca35448e14cca8ac6a&chksm=802c58c9b75bd1dfed7d5af9ff04b1e9fa866f425e8cdf0e3d20452b214eb6f57f61d2b9cd18&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh