长亭百川云 - 文章详情

信息安全漏洞周报(2024年第26期 )

CNNVD安全动态

65

2024-07-13

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年6月17日至2024年6月23日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞692个。

接报漏洞情况

本周CNNVD接报漏洞7038个,其中信息技术产品漏洞(通用型漏洞)222个,网络信息系统漏洞(事件型漏洞)27个,漏洞平台推送漏洞6789个。

公开漏洞情况


根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞692个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有239个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到5.49%。新增漏洞中,超危漏洞25个,高危漏洞52个,中危漏洞612个,低危漏洞3个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞692个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Linux基金会新增漏洞最多,有239个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Linux基金会

239

34.54%

2

WordPress基金会

176

25.43%

3

PrestaShop

10

1.45%

4

Absolute

10

1.45%

5

itsourcecode

8

1.16%

本周国内厂商漏洞25个,OpenCart公司漏洞数量最多,有6个。国内厂商漏洞整体修复率为46.15%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到5.49%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

38

5.49%

2

SQL注入

32

4.62%

3

代码问题

11

1.59%

4

跨站请求伪造

7

1.01%

5

操作系统命令注入

7

1.01%

6

路径遍历

4

0.58%

7

输入验证错误

3

0.43%

8

资源管理错误

3

0.43%

9

代码注入

2

0.29%

10

格式化字符串错误

1

0.14%

11

授权问题

1

0.14%

12

日志信息泄露

1

0.14%

13

信息泄露

1

0.14%

14

命令注入

1

0.14%

15

其他

580

83.82%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞25个,高危漏洞52个,中危漏洞612个,低危漏洞3个。相应修复率分别为52.00%、84.62%、83.17%和66.67%。根据补丁信息统计,合计568个漏洞已有修复补丁发布,整体修复率为82.08%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

25

13

52.00%

2

高危

52

44

84.62%

3

中危

612

509

83.17%

4

低危

3

2

66.67%

合计

692

568

82.08%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202406-2061

超危

2

CNNVD-202406-2254

高危

3

CNNVD-202406-2232

高危

1.WordPress plugin Salon booking system 安全漏洞(CNNVD-202406-2061)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Salon booking system 10.2版本及之前版本存在安全漏洞,该漏洞源于SLN_Action_Ajax_ImportAssistants函数中缺少文件类型验证和授权检查。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/3bbbf5be-5c0a-4514-88ac-003083c0bba3?source=cve

2.Google Chrome 资源管理错误漏洞(CNNVD-202406-2254)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 126.0.6478.114(Linux)之前版本、126.0.6478.114/115(Windows、Mac)之前版本存在资源管理错误漏洞,该漏洞源于Dawn中存在内存释放后重用问题。远程攻击者利用该漏洞可以导致堆损坏。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://chromereleases.googleblog.com/2024/06/stable-channel-update-for-desktop\_18.html

3.IBM Storage Protect 授权问题漏洞(CNNVD-202406-2232)

IBM Storage Protect(IBM Spectrum Protect)是美国国际商业机器(IBM)公司的一款备份软件,为物理文件服务器、虚拟环境和各种应用程序提供全面的数据数据灾备能力。

IBM Storage Protect 8.1.0.0版本至8.1.22.0版本存在授权问题漏洞,该漏洞源于用户权限验证不当。远程攻击者利用该漏洞绕过安全限制,通过发送特制请求,可以更改其设置、触发备份、恢复备份,以及通过日志轮换删除之前所有的备份。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/7157929

漏洞平台推送情况


本周CNNVD接收漏洞平台推送漏洞6789个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

5048

2

补天平台

1741

推送总计

6789

接报漏洞情况


本周CNNVD接报漏洞249个,其中信息技术产品漏洞(通用型漏洞)222个,网络信息系统漏洞(事件型漏洞)27个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

个人

43

2

北京天融信网络安全技术有限公司

22

3

广州纬安科技有限公司

20

4

浙江极安信息科技有限公司

19

5

零日信安(武汉市)技术有限责任公司

11

6

北京安博通科技股份有限公司

9

7

中资网络信息安全科技有限公司

7

8

途耀信息技术(上海)有限公司

6

9

郑州云智信安安全技术有限公司

6

10

中电智安科技有限公司

6

11

北京容辉智信科技有限公司

5

12

北京赛博昆仑科技有限公司

5

13

北京小佑网络科技有限公司

5

14

北京基调网络股份有限公司

4

15

广州竞远安全技术股份有限公司

4

16

河南灵创电子科技有限公司

4

17

三六零数字安全科技集团有限公司

4

18

山石网科通信技术股份有限公司

4

19

中国电信股份有限公司网络安全产品运营中心

4

20

北京长亭科技有限公司

3

21

山东鼎夏智能科技有限公司

3

22

西安交大捷普网络科技有限公司

3

23

北京华胜久安科技有限公司

2

24

北京神州绿盟科技有限公司

2

25

北京天地和兴科技有限公司

2

26

北京网藤科技有限公司

2

27

北京微步在线科技有限公司

2

28

北京知道创宇信息技术股份有限公司

2

29

成都创信华通信息技术有限公司

2

30

成都数默科技有限公司

2

31

河南东方云盾信息技术有限公司

2

32

淮安易云科技有限公司

2

33

南京赛宁信息技术有限公司

2

34

奇安信网神信息技术(北京)股份有限公司

2

35

赛尔网络有限公司

2

36

山西轩辕信息安全技术有限公司

2

37

上海计算机软件技术开发中心

2

38

上海谋乐网络科技有限公司

2

39

深圳市网安计算机安全检测技术有限公司

2

40

天津市兴先道科技有限公司

2

41

远江盛邦(北京)网络安全科技股份有限公司

2

42

中孚安全技术有限公司

2

43

北京安天网络安全技术有限公司

1

44

北京华云安信息技术有限公司

1

45

北京升鑫网络科技有限公司

1

46

北京威努特技术有限公司

1

47

福建银数信息技术有限公司

1

48

杭州默安科技有限公司

1

49

湖南中测网安信息技术有限公司

1

50

清远职业技术学院

1

51

山东云天安全技术有限公司

1

52

云盾智慧安全科技有限公司

1

53

中移(苏州)软件技术有限公司

1

54

重庆聚鑫瑞云计算有限公司

1

报送总计

249

收录漏洞通报情况


本周CNNVD收录漏洞通报90份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

13

2

安恒愿景(成都)信息科技有限公司

11

3

广东省信息安全测评中心

5

4

北京安胜华信科技有限公司

4

5

北京小佑网络科技有限公司

4

6

华为技术有限公司

4

7

中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)

4

8

北京安天网络安全技术有限公司

3

9

北京华云安信息技术有限公司

3

10

北京网藤科技有限公司

3

11

清远职业技术学院

3

12

三六零数字安全科技集团有限公司

3

13

天津市兴先道科技有限公司

3

14

浙江大华技术股份有限公司

3

15

杭州迪普科技股份有限公司

2

16

江苏嘉恩网络安全科技有限公司

2

17

上海戟安科技有限公司

2

18

深圳市网安计算机安全检测技术有限公司

2

19

北京安信天行科技有限公司

1

20

北京山石网科信息技术有限公司

1

21

北京天地和兴科技有限公司

1

22

河南东方云盾信息技术有限公司

1

23

南京禾盾信息科技有限公司

1

24

南京赛宁信息技术有限公司

1

25

内蒙古服安科技有限公司

1

26

宁波和利时信息安全研究院有限公司

1

27

奇安信网神信息技术(北京)股份有限公司

1

28

锐捷网络股份有限公司

1

29

上海斗象信息科技有限公司

1

30

途耀信息技术(上海)有限公司

1

31

西藏熙安信息技术有限责任公司

1

32

远江盛邦(北京)网络安全科技股份有限公司

1

33

郑州云智信安安全技术有限公司

1

34

重庆梦之想科技有限责任公司

1

收录总计

90

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2