信息安全漏洞周报（2024年第26期 ）

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年6月17日至2024年6月23日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞692个。

接报漏洞情况

本周CNNVD接报漏洞7038个，其中信息技术产品漏洞（通用型漏洞）222个，网络信息系统漏洞（事件型漏洞）27个，漏洞平台推送漏洞6789个。

一

公开漏洞情况

---

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞692个，漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多，有239个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到5.49%。新增漏洞中，超危漏洞25个，高危漏洞52个，中危漏洞612个，低危漏洞3个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞692个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，Linux基金会新增漏洞最多，有239个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Linux基金会

239

34.54%

2

WordPress基金会

176

25.43%

3

PrestaShop

10

1.45%

4

Absolute

10

1.45%

5

itsourcecode

8

1.16%

本周国内厂商漏洞25个，OpenCart公司漏洞数量最多，有6个。国内厂商漏洞整体修复率为46.15%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到5.49%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

38

5.49%

2

SQL注入

32

4.62%

3

代码问题

11

1.59%

4

跨站请求伪造

7

1.01%

5

操作系统命令注入

7

1.01%

6

路径遍历

4

0.58%

7

输入验证错误

3

0.43%

8

资源管理错误

3

0.43%

9

代码注入

2

0.29%

10

格式化字符串错误

1

0.14%

11

授权问题

1

0.14%

12

日志信息泄露

1

0.14%

13

信息泄露

1

0.14%

14

命令注入

1

0.14%

15

其他

580

83.82%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞25个，高危漏洞52个，中危漏洞612个，低危漏洞3个。相应修复率分别为52.00%、84.62%、83.17%和66.67%。根据补丁信息统计，合计568个漏洞已有修复补丁发布，整体修复率为82.08%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

25

13

52.00%

2

高危

52

44

84.62%

3

中危

612

509

83.17%

4

低危

3

2

66.67%

合计

692

568

82.08%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202406-2061

超危

2

CNNVD-202406-2254

高危

3

CNNVD-202406-2232

高危

1.WordPress plugin Salon booking system 安全漏洞（CNNVD-202406-2061）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Salon booking system 10.2版本及之前版本存在安全漏洞，该漏洞源于SLN_Action_Ajax_ImportAssistants函数中缺少文件类型验证和授权检查。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/id/3bbbf5be-5c0a-4514-88ac-003083c0bba3?source=cve

2.Google Chrome 资源管理错误漏洞（CNNVD-202406-2254）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 126.0.6478.114（Linux）之前版本、126.0.6478.114/115（Windows、Mac）之前版本存在资源管理错误漏洞，该漏洞源于Dawn中存在内存释放后重用问题。远程攻击者利用该漏洞可以导致堆损坏。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://chromereleases.googleblog.com/2024/06/stable-channel-update-for-desktop\_18.html

3.IBM Storage Protect 授权问题漏洞（CNNVD-202406-2232）

IBM Storage Protect（IBM Spectrum Protect）是美国国际商业机器（IBM）公司的一款备份软件，为物理文件服务器、虚拟环境和各种应用程序提供全面的数据数据灾备能力。

IBM Storage Protect 8.1.0.0版本至8.1.22.0版本存在授权问题漏洞，该漏洞源于用户权限验证不当。远程攻击者利用该漏洞绕过安全限制，通过发送特制请求，可以更改其设置、触发备份、恢复备份，以及通过日志轮换删除之前所有的备份。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7157929

二

漏洞平台推送情况

---

本周CNNVD接收漏洞平台推送漏洞6789个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

5048

2

补天平台

1741

推送总计

6789

三

接报漏洞情况

---

本周CNNVD接报漏洞249个，其中信息技术产品漏洞（通用型漏洞）222个，网络信息系统漏洞（事件型漏洞）27个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

个人

43

2

北京天融信网络安全技术有限公司

22

3

广州纬安科技有限公司

20

4

浙江极安信息科技有限公司

19

5

零日信安（武汉市）技术有限责任公司

11

6

北京安博通科技股份有限公司

9

7

中资网络信息安全科技有限公司

7

8

途耀信息技术（上海）有限公司

6

9

郑州云智信安安全技术有限公司

6

10

中电智安科技有限公司

6

11

北京容辉智信科技有限公司

5

12

北京赛博昆仑科技有限公司

5

13

北京小佑网络科技有限公司

5

14

北京基调网络股份有限公司

4

15

广州竞远安全技术股份有限公司

4

16

河南灵创电子科技有限公司

4

17

三六零数字安全科技集团有限公司

4

18

山石网科通信技术股份有限公司

4

19

中国电信股份有限公司网络安全产品运营中心

4

20

北京长亭科技有限公司

3

21

山东鼎夏智能科技有限公司

3

22

西安交大捷普网络科技有限公司

3

23

北京华胜久安科技有限公司

2

24

北京神州绿盟科技有限公司

2

25

北京天地和兴科技有限公司

2

26

北京网藤科技有限公司

2

27

北京微步在线科技有限公司

2

28

北京知道创宇信息技术股份有限公司

2

29

成都创信华通信息技术有限公司

2

30

成都数默科技有限公司

2

31

河南东方云盾信息技术有限公司

2

32

淮安易云科技有限公司

2

33

南京赛宁信息技术有限公司

2

34

奇安信网神信息技术（北京）股份有限公司

2

35

赛尔网络有限公司

2

36

山西轩辕信息安全技术有限公司

2

37

上海计算机软件技术开发中心

2

38

上海谋乐网络科技有限公司

2

39

深圳市网安计算机安全检测技术有限公司

2

40

天津市兴先道科技有限公司

2

41

远江盛邦(北京)网络安全科技股份有限公司

2

42

中孚安全技术有限公司

2

43

北京安天网络安全技术有限公司

1

44

北京华云安信息技术有限公司

1

45

北京升鑫网络科技有限公司

1

46

北京威努特技术有限公司

1

47

福建银数信息技术有限公司

1

48

杭州默安科技有限公司

1

49

湖南中测网安信息技术有限公司

1

50

清远职业技术学院

1

51

山东云天安全技术有限公司

1

52

云盾智慧安全科技有限公司

1

53

中移（苏州）软件技术有限公司

1

54

重庆聚鑫瑞云计算有限公司

1

报送总计

249

四

收录漏洞通报情况

---

本周CNNVD收录漏洞通报90份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

13

2

安恒愿景（成都）信息科技有限公司

11

3

广东省信息安全测评中心

5

4

北京安胜华信科技有限公司

4

5

北京小佑网络科技有限公司

4

6

华为技术有限公司

4

7

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

4

8

北京安天网络安全技术有限公司

3

9

北京华云安信息技术有限公司

3

10

北京网藤科技有限公司

3

11

清远职业技术学院

3

12

三六零数字安全科技集团有限公司

3

13

天津市兴先道科技有限公司

3

14

浙江大华技术股份有限公司

3

15

杭州迪普科技股份有限公司

2

16

江苏嘉恩网络安全科技有限公司

2

17

上海戟安科技有限公司

2

18

深圳市网安计算机安全检测技术有限公司

2

19

北京安信天行科技有限公司

1

20

北京山石网科信息技术有限公司

1

21

北京天地和兴科技有限公司

1

22

河南东方云盾信息技术有限公司

1

23

南京禾盾信息科技有限公司

1

24

南京赛宁信息技术有限公司

1

25

内蒙古服安科技有限公司

1

26

宁波和利时信息安全研究院有限公司

1

27

奇安信网神信息技术（北京）股份有限公司

1

28

锐捷网络股份有限公司

1

29

上海斗象信息科技有限公司

1

30

途耀信息技术（上海）有限公司

1

31

西藏熙安信息技术有限责任公司

1

32

远江盛邦(北京)网络安全科技股份有限公司

1

33

郑州云智信安安全技术有限公司

1

34

重庆梦之想科技有限责任公司

1

收录总计

90