信息安全漏洞月报(2024年6月)
点击蓝字 关注我们
本期导读
漏洞态势
根据国家信息安全漏洞库(CNNVD)统计,2024年6月采集安全漏洞共3075个。
本月接报漏洞1089个,其中信息技术产品漏洞(通用型漏洞)941个,网络信息系统漏洞(事件型漏洞)148个。漏洞平台推送漏洞27043个。
重大漏洞通报
PHP 操作系统命令注入漏洞(CNNVD-202406-852/CVE-2024-4577):PHP存在操作系统命令注入漏洞,该漏洞源于在特定条件下,Windows系统使用“Best-Fit”行为替换命令行中的字符,这可能导致PHP CGI模块错误地将这些字符解释为PHP选项,从而泄露脚本的源代码,在服务器上运行任意PHP代码等。以下版本受到影响:8.1至8.1.29之前版本,8.3至8.3.8之前版本,8.2至8.2.20之前版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.php.net/downloads
一
公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2024年6月新增安全漏洞共3075个,从厂商分布来看,WordPress漏洞数量最多,共发布891个;从漏洞类型来看,跨站脚本漏洞占比最大,达到10.24%。本月新增漏洞中,超危漏洞178个、高危漏洞574个、中危漏洞2263个、低危漏洞60个,相应修复率分别为80.34%、89.38%、82.42%以及86.67%。合计2573个漏洞已有修复补丁发布,本月整体修复率83.68%。
1.1 漏洞增长概况
2024年6月新增安全漏洞3075个,与上月(4992个)相比减少了38.41%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3404个。
图1 2024年1月至2024年6月漏洞新增数量统计图
1.2 漏洞分布情况
1.2.1 漏洞厂商分布
2024年6月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到891个,占本月漏洞总量28.98%。
表1 2024年6月新增漏洞排名前十厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress
891
28.98%
2
Linux
292
9.50%
3
Adobe
167
5.43%
4
79
2.57%
5
Microsoft
56
1.82%
6
IBM
51
1.66%
7
Toshiba
43
1.40%
8
SAMSUNG
41
1.33%
9
Apple
40
1.30%
10
Dell
34
1.11%
1.2.2 漏洞类型分布
2024年6月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为10.24%。
表2 2024年6月漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
315
10.24%
2
SQL注入
99
3.22%
3
代码问题
63
2.05%
4
路径遍历
37
1.20%
5
输入验证错误
32
1.04%
6
资源管理错误
29
0.94%
7
信息泄露
28
0.91%
8
跨站请求伪造
28
0.91%
9
访问控制错误
28
0.91%
10
授权问题
24
0.78%
11
操作系统命令注入
19
0.62%
12
缓冲区错误
13
0.42%
13
日志信息泄露
9
0.29%
14
代码注入
9
0.29%
15
命令注入
7
0.23%
16
信任管理问题
7
0.23%
17
后置链接
6
0.20%
18
加密问题
3
0.10%
19
安全特征问题
3
0.10%
20
注入
3
0.10%
21
竞争条件问题
2
0.07%
22
数字错误
2
0.07%
23
权限许可和访问控制问题
2
0.07%
24
数据伪造问题
1
0.03%
25
环境问题
1
0.03%
26
格式化字符串错误
1
0.03%
1.2.3 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2024年6月漏洞危害等级分布情况如图2所示,其中超危漏洞178个,占本月漏洞总量5.79%。
图2 2024年6月漏洞危害等级分布图
1.3漏洞修复情况
1.3.1 整体修复情况
2024年6月各危害等级修复情况如图3所示,低危漏洞修复率最高,为89.38%,超危漏洞修复率最低,为80.34%。
总体来看,本月整体修复率由上月的83.22%下降至本月的83.68%。
图3 2024年6月各危害等级修复情况统计图
1.3.2 厂商修复情况
2024年6月新增漏洞数量排名前十厂商修复情况如表3所示,合计1694个漏洞,占本月漏洞总量55.09%,平均修复率为97.08%。
表3 2024年6月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量(个)
修复率
1
WordPress
891
827
92.82%
2
Linux
292
292
100.00%
3
Adobe
167
167
100.00%
4
79
77
97.47%
5
Microsoft
56
56
100.00%
6
IBM
51
51
100.00%
7
Toshiba
43
43
100.00%
8
SAMSUNG
41
33
80.49%
9
Apple
40
40
100.00%
10
Dell
34
34
100.00%
二
接报漏洞情况
2024年6月接报漏洞1089个,其中信息技术产品漏洞(通用型漏洞)941个,网络信息系统漏洞(事件型漏洞)148个。详情如表4所示。
表4 2024年6月接报漏洞情况表
序号
报送单位
漏洞数量
1
个人
96
2
北京天融信网络安全技术有限公司
76
3
内蒙古旌云科技有限公司
53
4
北京赛博昆仑科技有限公司
42
5
零日信安(武汉市)技术有限责任公司
42
6
奇安信网神信息技术(北京)股份有限公司
33
7
成都创信华通信息技术有限公司
32
8
上海云盾信息技术有限公司
31
9
浙江极安信息科技有限公司
26
10
北京安天网络安全技术有限公司
25
11
深信服科技股份有限公司
24
12
中资网络信息安全科技有限公司
23
13
广州纬安科技有限公司
23
14
北京安博通科技股份有限公司
22
15
中孚安全技术有限公司
21
16
星云博创科技有限公司
20
17
安恒愿景(成都)信息科技有限公司
19
18
中国电信股份有限公司网络安全产品运营中心
17
19
北京天地和兴科技有限公司
17
20
河南灵创电子科技有限公司
16
21
广州竞远安全技术股份有限公司
15
22
三六零数字安全科技集团有限公司
14
23
北京容辉智信科技有限公司
14
24
途耀信息技术(上海)有限公司
13
25
中电智安科技有限公司
12
26
郑州云智信安安全技术有限公司
12
27
河南东方云盾信息技术有限公司
12
28
苏州棱镜七彩信息科技有限公司
11
29
华为技术有限公司
11
30
北京神州绿盟科技有限公司
10
31
山石网科通信技术股份有限公司
10
32
成都安美勤信息技术股份有限公司
10
33
北京安信天行科技有限公司
9
34
江西中和证信息安全技术有限公司
9
35
杭州安恒信息技术股份有限公司
9
36
江西神舟信息安全评估中心有限公司
9
37
山东鼎夏智能科技有限公司
9
38
北京华云安信息技术有限公司
8
39
湖南中测网安信息技术有限公司
8
40
西安交大捷普网络科技有限公司
8
41
天津市兴先道科技有限公司
7
42
赛尔网络有限公司
7
43
浙江大华技术股份有限公司
6
44
河南天祺信息安全技术有限公司
6
45
北京灰度科技有限公司
5
46
北京华胜久安科技有限公司
5
47
安徽三实软件科技有限公司
5
48
北京海泰方圆科技股份有限公司
5
49
北京小佑网络科技有限公司
5
50
北京知道创宇信息技术股份有限公司
5
51
上海计算机软件技术开发中心
4
52
北京基调网络股份有限公司
4
53
北京长亭科技有限公司
4
54
杭州迪普科技股份有限公司
4
55
成都数默科技有限公司
4
56
厦门服云信息科技有限公司
4
57
新基信息技术集团股份有限公司
4
58
河南悦海数安科技有限公司
4
59
浙江齐安信息科技有限公司
4
60
云盾智慧安全科技有限公司
3
61
佛山市星络科技有限公司
3
62
中科信息安全共性技术国家工程研究中心有限公司
3
63
北方实验室(沈阳)股份有限公司
3
64
马鞍山书拓安全科技有限公司
3
65
山西轩辕信息安全技术有限公司
3
66
远江盛邦(北京)网络安全科技股份有限公司
3
67
国威(北京)信息安全技术有限公司
3
68
北京威努特技术有限公司
3
69
北京安胜华信科技有限公司
3
70
浪潮电子信息产业股份有限公司
3
71
腾讯云计算(北京)有限责任公司
3
72
江苏嘉恩网络安全科技有限公司
3
73
淮安易云科技有限公司
3
74
深圳建安润星安全技术有限公司
3
75
深圳海云安网络安全技术有限公司
3
76
甘肃赛飞安全科技有限公司
3
77
上海嘉韦思信息技术有限公司
2
78
上海谋乐网络科技有限公司
2
79
京东科技信息技术有限公司
2
80
上海只柏特信息技术有限公司
2
81
北京网藤科技有限公司
2
82
北京卓识网安技术股份有限公司
2
83
北京微步在线科技有限公司
2
84
山东云天安全技术有限公司
2
85
浙江同济科技职业学院
2
86
天翼数智科技(北京)有限公司
2
87
北京天防安全科技有限公司
2
88
黑龙江智泽测评科技有限公司
2
89
武汉非尼克斯软件技术有限公司
2
90
北京智游网安科技有限公司
2
91
湖北肆安科技有限公司
2
92
福建银数信息技术有限公司
2
93
北京启明星辰信息安全技术有限公司
2
94
江苏嘉玖信息科技有限公司
2
95
南京聚铭网络科技有限公司
2
96
南京赛宁信息技术有限公司
2
97
恒安嘉新(北京)科技股份公司
2
98
深圳市网安计算机安全检测技术有限公司
2
99
个人
1
100
亚信科技(成都)有限公司
1
101
上海斗象信息科技有限公司
1
102
北京触点互动信息技术有限公司
1
103
北京升鑫网络科技有限公司
1
104
上海匡创信息技术有限公司
1
105
内蒙古服安科技有限公司
1
106
中控技术股份有限公司
1
107
上海吨吨信息技术有限公司
1
108
杭州海康威视数字技术股份有限公司
1
109
杭州中电安科现代科技有限公司
1
110
江苏通付盾科技有限公司
1
111
北京比瓴科技有限公司
1
112
金盾检测技术股份有限公司
1
113
浙江国利网安科技有限公司
1
114
锐捷网络股份有限公司
1
115
河北东鼎电子科技有限公司
1
116
中移(苏州)软件技术有限公司
1
117
超聚变数字技术有限公司
1
118
重庆聚鑫瑞云计算有限公司
1
119
北京安华金和科技有限公司
1
120
西藏熙安信息技术有限责任公司
1
121
国网宁夏电科院
1
122
杭州默安科技有限公司
1
123
西安秦易信息技术有限公司
1
124
深圳市能信安科技股份有限公司
1
125
深圳市深信服信息安全有限公司
1
126
清远职业技术学院
1
127
贵州泰若数字科技有限公司
1
128
建信金融科技有限责任公司安全攻防实验室
1
129
杭州美创科技股份有限公司
1
报送合计
1089
三
漏洞通报情况
3.1 通报情况
2024年6月接报通报600个,详情情况如表5所示。
表5 2024年6月接报通报情况表
序号
报送单位
通报数量
1
中孚安全技术有限公司
61
2
广东省信息安全测评中心
38
3
安恒愿景(成都)信息科技有限公司
27
4
华为技术有限公司
18
5
中国信息安全测评中心华中测评中心
(湖南省信息安全测评中心)
18
6
三六零数字安全科技集团有限公司
17
7
浙江大华技术股份有限公司
15
8
南京禾盾信息科技有限公司
15
9
杭州迪普科技股份有限公司
14
10
北京安胜华信科技有限公司
14
11
河南东方云盾信息技术有限公司
13
12
奇安信网神信息技术(北京)股份有限公司
13
13
北京网藤科技有限公司
13
14
北京安信天行科技有限公司
11
15
上海矢安科技有限公司
11
16
深信服科技股份有限公司
10
17
天津市兴先道科技有限公司
10
18
北京华云安信息技术有限公司
10
19
浙江极安信息科技有限公司
10
20
内蒙古服安科技有限公司
9
21
河南灵创电子科技有限公司
9
22
北京小佑网络科技有限公司
9
23
山东鼎夏智能科技有限公司
8
24
北京安天网络安全技术有限公司
8
25
新华三技术有限公司
8
26
江西渝融云安全科技有限公司
8
27
上海斗象信息科技有限公司
7
28
浙江国利网安科技有限公司
6
29
江苏嘉恩网络安全科技有限公司
6
30
上海戟安科技有限公司
6
31
南京赛宁信息技术有限公司
6
32
北京安博通科技股份有限公司
6
33
山东新潮信息技术有限公司
5
34
清远职业技术学院
5
35
北京天融信网络安全技术有限公司
5
36
江西神舟信息安全评估中心有限公司
5
37
苏州棱镜七彩信息科技有限公司
5
38
北京信联数安科技有限公司
5
39
工业和信息化部电子第五研究所
5
40
河南悦海数安科技有限公司
4
41
建信金融科技有限责任公司安全攻防实验室
4
42
远江盛邦(北京)网络安全科技股份有限公司
4
43
深圳建安润星安全技术有限公司
4
44
永信至诚科技集团股份有限公司
4
45
贵州泰若数字科技有限公司
4
46
江苏嘉玖信息科技有限公司
4
47
广州纬安科技有限公司
4
48
北京国信城研科学技术研究院
4
49
深圳市网安计算机安全检测技术有限公司
4
50
云上广济(贵州)信息技术有限公司
4
51
江苏讯安信息安全技术有限公司
4
52
上海谋乐网络科技有限公司
3
53
北京山石网科信息技术有限公司
3
54
重庆梦之想科技有限责任公司
3
55
重庆聚鑫瑞云计算有限公司
3
56
道普信息技术有限公司
3
57
上海安识网络科技有限公司
3
58
深圳市深信服信息安全有限公司
3
59
淮安易云科技有限公司
3
60
河南天祺信息安全技术有限公司
3
61
马鞍山书拓安全科技有限公司
3
62
北京中金安服科技有限公司
3
63
中科信息安全共性技术国家工程研究中心有限公司
3
64
金盾检测技术股份有限公司
2
65
深圳市能信安科技股份有限公司
2
66
西藏熙安信息技术有限责任公司
2
67
北京启明星辰信息安全技术有限公司
2
68
锐捷网络股份有限公司
2
69
途耀信息技术(上海)有限公司
2
70
安徽三实软件科技有限公司
2
71
北京天地和兴科技有限公司
2
72
郑州云智信安安全技术有限公司
2
73
北京容辉智信科技有限公司
2
74
北京天防安全科技有限公司
2
75
北京长亭科技有限公司
2
76
贵州数创控股(集团)有限公司
2
77
杭州默安科技有限公司
2
78
杭州安恒信息技术股份有限公司
2
79
山东鼎夏智能科技有限公司
1
80
内蒙古旌云科技有限公司
1
81
亚信科技(成都)有限公司
1
82
恒安嘉新(北京)科技股份公司
1
83
北京华胜久安科技有限公司
1
84
超聚变数字技术有限公司
1
85
成都卫士通信息安全技术有限公司
1
86
江西中和证信息安全技术有限公司
1
87
北京赛博昆仑科技有限公司
1
88
北京安华金和科技有限公司
1
89
江苏通付盾科技有限公司
1
90
宁波和利时信息安全研究院有限公司
1
91
长扬科技(北京)股份有限公司
1
92
北京触点互动信息技术有限公司
1
93
博智安全科技股份有限公司
1
94
江西和尔惠信息技术有限公司
1
95
北京卓识网安技术股份有限公司
1
报送合计
600
3.2 重要漏洞
表6 2024年6月重要漏洞表
序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
Progress Software MOVEit Transfer 安全漏洞
CNNVD-202406-2788/
CVE-2024-5806
超危
2
Apache Kafka 安全漏洞
CNNVD-202406-2233/
CVE-2024-32030
高危
3
VMware vCenter Server
安全漏洞
CNNVD-202406-1978/
CVE-2024-37079
超危
4
Adobe Commerce
代码问题漏洞
CNNVD-202406-1362/
CVE-2024-34102
超危
5
PHP
操作系统命令注入漏洞
CNNVD-202406-852/
CVE-2024-4577
超危
6
SolarWinds Serv-U
路径遍历漏洞
CNNVD-202406-444/
CVE-2024-28995
高危
7
Apache OFBiz
路径遍历漏洞
CNNVD-202406-159/
CVE-2024-36104
超危
四
漏洞平台推送情况
2024年6月漏洞平台推送漏洞27043个。详情如表7所示。
表7 2024年6月漏洞平台推送情况表
序号
漏洞平台
漏洞总量
1
补天平台
12583
2
漏洞盒子
11934
3
360漏洞云
2526
推送总计
27043
