信息安全漏洞周报（2024年第27期 ）

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年6月24日至2024年6月30日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞551个。

接报漏洞情况

本周CNNVD接报漏洞7617个，其中信息技术产品漏洞（通用型漏洞）235个，网络信息系统漏洞（事件型漏洞）39个，漏洞平台推送漏洞7343个。

一

公开漏洞情况

---

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞551个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有80个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到7.62%。新增漏洞中，超危漏洞46个，高危漏洞104个，中危漏洞382个，低危漏洞19个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞551个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有80个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

80

14.52%

2

Linux基金会

40

7.26%

3

IBM

35

6.35%

4

Autodesk

29

5.26%

5

Progress Software

17

3.09%

本周国内厂商漏洞41个，群晖科技公司漏洞数量最多，有8个。国内厂商漏洞整体修复率为68.29%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到7.62%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

42

7.62%

2

SQL注入

15

2.72%

3

资源管理错误

11

2.00%

4

代码问题

10

1.81%

5

访问控制错误

9

1.63%

6

路径遍历

9

1.63%

7

代码注入

5

0.91%

8

跨站请求伪造

5

0.91%

9

授权问题

4

0.73%

10

操作系统命令注入

4

0.73%

11

信任管理问题

3

0.54%

12

命令注入

3

0.54%

13

输入验证错误

3

0.54%

14

日志信息泄露

3

0.54%

15

加密问题

2

0.36%

16

缓冲区错误

2

0.36%

17

信息泄露

2

0.36%

18

安全特征问题

1

0.18%

19

数字错误

1

0.18%

20

其他

417

75.68%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞46个，高危漏洞104个，中危漏洞382个，低危漏洞19个。相应修复率分别为84.78%、93.27%、76.18%和84.21%。根据补丁信息统计，合计443个漏洞已有修复补丁发布，整体修复率为80.40%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

46

39

84.78%

2

高危

104

97

93.27%

3

中危

382

291

76.18%

4

低危

19

16

84.21%

合计

551

443

80.40%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202406-2632

超危

2

CNNVD-202406-2840

高危

3

CNNVD-202406-3098

高危

1.WordPress plugin Consulting Elementor Widgets 命令注入漏洞（CNNVD-202406-2632）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Consulting Elementor Widgets 1.3.0版本及之前版本存在命令注入漏洞，该漏洞源于对特殊元素中和不当。攻击者利用该漏洞可以执行操作系统命令注入攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/consulting-elementor-widgets/consulting-elementor-widgets-130-authenticated-contributor-remote-code-execution

2.Dell PowerProtect Data Domain 安全漏洞（CNNVD-202406-2840）

Dell PowerProtect Data Domain（Dell PowerProtect DD）是美国戴尔（Dell）公司的一套用于数据保护、备份、存储和重复数据消除的硬件设备。

Dell PowerProtect Data Domain 8.0之前版本存在安全漏洞，该漏洞源于存在缓冲区溢出问题。攻击者利用该漏洞可以导致应用程序崩溃或在受影响应用程序的底层操作系统上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.dell.com/support/kbdoc/en-us/000226148/dsa-2024-219-dell-technologies-powerprotect-dd-security-update-for-multiple-security-vulnerabilities

3.IBM MQ 安全漏洞（CNNVD-202406-3098）

IBM MQ（IBM WebSphere MQ）是美国国际商业机器（IBM）公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。

IBM MQ 9.3 LTS版本、9.3 CD版本存在安全漏洞，该漏洞源于权限分配不正确。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7158072

二

漏洞平台推送情况

---

本周CNNVD接收漏洞平台推送漏洞7343个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

3790

2

补天平台

2133

3

360漏洞云

1420

推送总计

7343

三

接报漏洞情况

---

本周CNNVD接报漏洞274个，其中信息技术产品漏洞（通用型漏洞）235个，网络信息系统漏洞（事件型漏洞）39个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

奇安信网神信息技术（北京）股份有限公司

30

2

上海云盾信息技术有限公司

28

3

深信服科技股份有限公司

22

4

个人

20

5

北京赛博昆仑科技有限公司

15

6

北京天融信网络安全技术有限公司

14

7

北京容辉智信科技有限公司

9

8

江西神舟信息安全评估中心有限公司

9

9

零日信安（武汉市）技术有限责任公司

8

10

成都安美勤信息技术股份有限公司

7

11

郑州云智信安安全技术有限公司

6

12

北京海泰方圆科技股份有限公司

5

13

河南灵创电子科技有限公司

5

14

山东鼎夏智能科技有限公司

5

15

西安交大捷普网络科技有限公司

5

16

安恒愿景（成都）信息科技有限公司

4

17

广州竞远安全技术股份有限公司

4

18

杭州迪普科技股份有限公司

4

19

河南悦海数安科技有限公司

4

20

湖南中测网安信息技术有限公司

4

21

中电智安科技有限公司

4

22

北京安信天行科技有限公司

3

23

北京华胜久安科技有限公司

3

24

北京知道创宇信息技术股份有限公司

3

25

河南东方云盾信息技术有限公司

3

26

华为技术有限公司

3

27

厦门服云信息科技有限公司

3

28

苏州棱镜七彩信息科技有限公司

3

29

浙江极安信息科技有限公司

3

30

北京天防安全科技有限公司

2

31

北京智游网安科技有限公司

2

32

甘肃赛飞安全科技有限公司

2

33

广州纬安科技有限公司

2

34

浪潮电子信息产业股份有限公司

2

35

三六零数字安全科技集团有限公司

2

36

上海计算机软件技术开发中心

2

37

云盾智慧安全科技有限公司

2

38

中孚安全技术有限公司

2

39

北京安胜华信科技有限公司

1

40

北京安天网络安全技术有限公司

1

41

北京启明星辰信息安全技术有限公司

1

42

北京天地和兴科技有限公司

1

43

北京威努特技术有限公司

1

44

福建银数信息技术有限公司

1

45

杭州美创科技股份有限公司

1

46

杭州中电安科现代科技有限公司

1

47

淮安易云科技有限公司

1

48

江西中和证信息安全技术有限公司

1

49

金盾检测技术股份有限公司

1

50

马鞍山书拓安全科技有限公司

1

51

赛尔网络有限公司

1

52

上海嘉韦思信息技术有限公司

1

53

上海只柏特信息技术有限公司

1

54

天翼数智科技（北京）有限公司

1

55

西安秦易信息技术有限公司

1

56

亚信科技（成都）有限公司

1

57

浙江齐安信息科技有限公司

1

58

中国电信股份有限公司网络安全产品运营中心

1

报送总计

274

四

收录漏洞通报情况

---

本周CNNVD收录漏洞通报91份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

12

2

杭州迪普科技股份有限公司

9

3

安恒愿景（成都）信息科技有限公司

6

4

奇安信网神信息技术（北京）股份有限公司

6

5

浙江国利网安科技有限公司

6

6

广东省信息安全测评中心

5

7

北京安天网络安全技术有限公司

3

8

山东新潮信息技术有限公司

3

9

新华三技术有限公司

3

10

浙江大华技术股份有限公司

3

11

安徽三实软件科技有限公司

2

12

河南东方云盾信息技术有限公司

2

13

华为技术有限公司

2

14

南京赛宁信息技术有限公司

2

15

清远职业技术学院

2

16

三六零数字安全科技集团有限公司

2

17

上海矢安科技有限公司

2

18

天津市兴先道科技有限公司

2

19

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

2

20

北京启明星辰信息安全技术有限公司

1

21

北京赛博昆仑科技有限公司

1

22

北京小佑网络科技有限公司

1

23

广州纬安科技有限公司

1

24

河南灵创电子科技有限公司

1

25

河南悦海数安科技有限公司

1

26

淮安易云科技有限公司

1

27

建信金融科技有限责任公司安全攻防实验室

1

28

江苏嘉玖信息科技有限公司

1

29

江西渝融云安全科技有限公司

1

30

内蒙古旌云科技有限公司

1

31

上海戟安科技有限公司

1

32

深信服科技股份有限公司

1

33

深圳市能信安科技股份有限公司

1

34

苏州棱镜七彩信息科技有限公司

1

35

永信至诚科技集团股份有限公司

1

36

远江盛邦(北京)网络安全科技股份有限公司

1

收录总计

91