信息安全漏洞周报(2024年第52期)
2024-12-25 06:43:0 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月16日至2024年12月22日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞627个。

接报漏洞情况

本周CNNVD接报漏洞37595个,其中信息技术产品漏洞(通用型漏洞)270个,网络信息系统漏洞(事件型漏洞)30个,漏洞平台推送漏洞37295个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞627个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有259个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到13.40%。新增漏洞中,超危漏洞58个,高危漏洞187个,中危漏洞371个,低危漏洞11个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞627个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有259个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
259
41.31%
2
IBM
25
3.99%
3
Autodesk
14
2.23%
4
PHPGurukul
10
1.59%
5
苹果
9
1.44%

本周国内厂商漏洞41个,中华电信公司漏洞数量最多,有6个。国内厂商漏洞整体修复率为60.98%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到13.40%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
84
13.40%
2
跨站请求伪造
68
10.85%
3
SQL注入
34
5.42%
4
代码问题
31
4.94%
5
代码注入
21
3.35%
6
信息泄露
14
2.23%
7
注入
13
2.07%
8
路径遍历
10
1.59%
9
输入验证错误
7
1.12%
10
授权问题
5
0.80%
11
操作系统命令注入
4
0.64%
12
访问控制错误
3
0.48%
13
资源管理错误
3
0.48%
14
缓冲区错误
2
0.32%
15
信任管理问题
2
0.32%
16
参数注入
1
0.16%
17
数据伪造问题
1
0.16%
18
日志信息泄露
1
0.16%
19
安全特征问题
1
0.16%
20
命令注入
1
0.16%
21
其他
321
51.20%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞58个,高危漏洞187个,中危漏洞371个,低危漏洞11个。相应修复率分别为84.48%、88.24%、81.13%和81.82%。根据补丁信息统计,合计524个漏洞已有修复补丁发布,整体修复率为83.57%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
58
49
84.48%
2
高危
187
165
88.24%
3
中危
371
301
81.13%
4
低危
11
9
81.82%
合计
627
524
83.57%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号
漏洞编号
危害等级
1
CNNVD-202412-2380
超危
2
CNNVD-202412-2411
高危
3
CNNVD-202412-2553
高危

1. WordPress plugin WooCommerce PDF Vouchers 安全漏洞(CNNVD-202412-2380)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WooCommerce PDF Vouchers 4.9.9之前版本存在安全漏洞,该漏洞源于权限分配错误。攻击者利用该漏洞可以升级权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://wordpress.org/plugins/

2. Google Chrome 安全漏洞(CNNVD-202412-2411)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 131.0.6778.204之前版本存在安全漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以通过特制的HTML页面导致堆损坏。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop_18.html

3. IBM Cognos Analytics 代码问题漏洞(CNNVD-202412-2553)

IBM Cognos Analytics是美国国际商业机器(IBM)公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。

IBM Cognos Analytics 11.2.0版本至11.2.4 FP4版本和12.0.0版本至12.0.4版本存在代码问题漏洞,该漏洞源于未验证上传到Web界面的文件内容。攻击者利用该漏洞可以将恶意文件上传到系统中。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/7179496


漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞37295个。

表5 本周漏洞平台推送情况

序号

漏洞平台
漏洞总量
1
漏洞盒子
27143
2
补天平台
10059
3
360漏洞云
93
推送总计
37295


接报漏洞情况

本周CNNVD接报漏洞300个,其中信息技术产品漏洞(通用型漏洞)270个,网络信息系统漏洞(事件型漏洞)30个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
个人
70
2
广州纬安科技有限公司
50
3
博智安全科技股份有限公司
12
4
途耀信息技术(上海)有限公司
12
5
网宿科技股份有限公司
9
6
浙江宇视科技有限公司
9
7
中兴通讯股份有限公司
8
8
内蒙古洞明科技有限公司
7
9
腾讯云计算(北京)有限责任公司
6
10
北京金睛云华科技有限公司
6
11
道普信息技术有限公司
5
12
北京天下信安技术有限公司
5
13
北京安博通科技股份有限公司
5
14
南京赛宁信息技术有限公司
5
15
中科方德软件有限公司
5
16
长沙中格创新科技有限公司
5
17
广州竞远安全技术股份有限公司
4
18
浙江齐安信息科技有限公司
4
19
中资网络信息安全科技有限公司
3
20
广州非凡信息安全技术有限公司
3
21
成都信息工程大学
3
22
河南灵创电子科技有限公司
3
23
北京安帝科技有限公司
3
24
北京天融信网络安全技术有限公司
3
25
成都安美勤信息技术股份有限公司
3
26
苏州棱镜七彩信息科技有限公司
2
27
上海云盾信息技术有限公司
2
28
北京安普诺信息技术有限公司
2
29
上海斗象信息科技有限公司
2
30
江苏百达智慧网络科技有限公司
2
31
安恒愿景(成都)信息科技有限公司
2
32
北京世纪超星信息技术发展有限责任公司
2
33
南京众智维信息科技有限公司
2
34
甘肃赛飞安全科技有限公司
2
35
上海谋乐网络科技有限公司
2
36
内蒙古中叶信息技术有限责任公司
2
37
新华三技术有限公司
2
38
京铁云智慧物流科技有限公司
1
39
中质智通检测技术有限公司
1
40
内蒙古迅如信息安全科技有限公司
1
41
福建省鲸之云盾网络科技有限公司
1
42
泉州延陵信息技术有限公司
1
43
华为技术有限公司
1
44
锐捷网络股份有限公司
1
45
卫士通(广州)信息安全技术有限公司
1
46
河南听潮盛世信息技术有限公司
1
47
宝鸡市阳光网络技术有限公司
1
48
郑州埃文科技有限公司
1
49
内蒙古数字安全科技有限公司
1
50
中国电信股份有限公司网络安全产品运营中心
1
51
北京神州绿盟科技有限公司
1
52
烽台科技(北京)有限公司
1
53
上海巨耕信息技术有限公司
1
54
西安极安盾信息科技有限公司
1
55
北京源堡科技有限公司
1
56
北京赛博昆仑科技有限公司
1
57
贵州粟詈网络科技有限公司
1
58
深信服科技股份有限公司
1
59
亚信科技(成都)有限公司
1
60
北京启明星辰信息安全技术有限公司
1
61
北京智游网安科技有限公司
1
62
河南东方云盾信息技术有限公司
1
63
深圳建安润星安全技术有限公司
1
64
北京云科安信科技有限公司
1
65
内蒙古思沃科技有限公司
1
报送总计
300

收录漏洞通报情况

本周CNNVD收录漏洞通报99份。

表7 本周漏洞通报情况
序号
报送单位
通报总量

1

奇安信网神信息技术(北京)股份有限公司
11
2
中孚安全技术有限公司
9
3
华为技术有限公司
6
4
北京华云安信息技术有限公司
4
5
泉州延陵信息技术有限公司
3
6
道普信息技术有限公司
3
7
杭州迪普科技股份有限公司
3
8
华易数安科技(吉林省)有限公司
3
9
北京天融信网络安全技术有限公司
2
10
西安交大捷普网络科技有限公司
2
11
杭州安恒信息技术股份有限公司
2
12
河南灵创电子科技有限公司
2
13
北京安帝科技有限公司
2
14
北京有略安全技术有限公司
2
15
工业和信息化部电子第五研究所
2
16
内蒙古旌云科技有限公司
2
17
北方实验室(沈阳)股份有限公司
2
18
云上广济(贵州)信息技术有限公司
2
19
成都安美勤信息技术股份有限公司
2
20
上海戟安科技有限公司
2
21
杰润鸿远(北京)科技有限公司
1
22
北京安天网络安全技术有限公司
1
23
北京山石网科信息技术有限公司
1
24
广东省信息安全测评中心
1
25
贵州粟詈网络科技有限公司
1
26
云南南天电子信息产业股份有限公司
1
27
成都卫士通信息安全技术有限公司
1
28
广州纬安科技有限公司
1
29
北京威努特技术有限公司
1
30
京铁云智慧物流科技有限公司
1
31
深圳市魔方安全科技有限公司
1
32
途耀信息技术(上海)有限公司
1
33
北京知道创宇信息技术股份有限公司
1
34
博智安全科技股份有限公司
1
35
中国电信股份有限公司网络安全产品运营中心
1
36
北京国科数安科技有限公司
1
37
北京神州绿盟科技有限公司
1
38
中科方德软件有限公司
1
39
新华三技术有限公司
1
40
广州松杨云创科技有限公司
1
41
维安(山东)数字技术有限公司
1
42
北京赛博昆仑科技有限公司
1
43
深圳建安润星安全技术有限公司
1
44
安徽三实软件科技有限公司
1
45
长扬科技(北京)股份有限公司
1
46
深信服科技股份有限公司
1
47
亚信科技(成都)有限公司
1
48
宁波和利时信息安全研究院有限公司
1
49
任子行网络技术股份有限公司
1
50
郑州埃文科技有限公司
1
51
北京时代新威信息技术有限公司
1
52
杭州海康威视数字技术股份有限公司
1
53
塞讯信息技术(上海)有限公司
1
收录总计
99

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651462241&idx=1&sn=2da0ba5a4ed15e8beafe9786cefddc9a&chksm=802c5b49b75bd25f998a60e01429bed47c4a731cfaca6b92343ae56f665f95552ac28f7bf821&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh