长亭百川云 - 文章详情

信息安全漏洞周报(2024年第25期)

CNNVD安全动态

57

2024-07-13

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年6月10日至2024年6月16日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1012个。

接报漏洞情况

本周CNNVD接报漏洞5666个,其中信息技术产品漏洞(通用型漏洞)227个,网络信息系统漏洞(事件型漏洞)9个,漏洞平台推送漏洞5430个。

重大漏洞通报

PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577):未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

公开漏洞情况


根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1012个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有219个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到14.82%。新增漏洞中,超危漏洞42个,高危漏洞190个,中危漏洞759个,低危漏洞21个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1012个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有219个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

219

21.64%

2

Adobe

165

16.30%

3

谷歌

63

6.23%

4

微软

52

5.14%

5

Toshiba

43

4.25%

本周国内厂商漏洞44个,吉翁电子公司漏洞数量最多,有9个。国内厂商漏洞整体修复率为37.78%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到14.82%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

150

14.82%

2

SQL注入

29

2.87%

3

代码问题

21

2.08%

4

输入验证错误

16

1.58%

5

访问控制错误

11

1.09%

6

资源管理错误

11

1.09%

7

路径遍历

10

0.99%

8

缓冲区错误

9

0.89%

9

信息泄露

9

0.89%

10

授权问题

7

0.69%

11

后置链接

6

0.59%

12

跨站请求伪造

6

0.59%

13

信任管理问题

3

0.30%

14

注入

2

0.20%

15

日志信息泄露

1

0.10%

16

安全特征问题

1

0.10%

17

操作系统命令注入

1

0.10%

18

数字错误

1

0.10%

19

权限许可和访问控制问题

1

0.10%

20

代码注入

1

0.10%

21

竞争条件问题

1

0.10%

22

其他

715

70.65%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞42个,高危漏洞190个,中危漏洞759个,低危漏洞21个。相应修复率分别为95.24%、94.21%、87.09%和85.71%。根据补丁信息统计,合计898个漏洞已有修复补丁发布,整体修复率为88.74%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

42

40

95.24%

2

高危

190

179

94.21%

3

中危

759

661

87.09%

4

低危

21

18

85.71%

合计

1012

898

88.74%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序****号

漏洞编号

危害等级

1

CNNVD-202406-1028

超危

2

CNNVD-202406-1529

高危

3

CNNVD-202406-1145

高危

1.WordPress plugin BBlog2Social: Social Media Auto Post & Scheduler 安全漏洞(CNNVD-202406-1028)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin BBlog2Social: Social Media Auto Post & Scheduler 7.4.1版本及之前版本存在安全漏洞,该漏洞源于对用户提供的参数转义不足。攻击者利用该漏洞可以从数据库中提取敏感信息。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/3b472eb8-9808-4a50-b2b4-0b0b3256053f?source=cve

2.Adobe Substance 3D Stager 缓冲区错误漏洞(CNNVD-202406-1529)

Adobe Substance 3D Stager是美国奥多比(Adobe)公司的一个虚拟3D工作室。

Adobe Substance 3D Stager 2.1.4之前版本存在缓冲区错误漏洞,该漏洞源于允许越界写入内存。攻击者利用该漏洞在当前用户的环境中可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/substance3d\_stager/apsb24-43.html

3.Microsoft Windows Routing and Remote Access Service 安全漏洞(CNNVD-202406-1145)

Microsoft Windows Routing and Remote Access Service是美国微软(Microsoft)公司的一种网络服务,用于实现网络路由、虚拟专用网络(VPN)和拨号连接等功能。

Microsoft Windows Routing and Remote Access Service (RRAS)存在安全漏洞。Windows多个版本均受此漏洞影响,攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30095

漏洞平台推送情况


本周CNNVD接收漏洞平台推送漏洞5430个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

2833

2

补天平台

1890

3

360漏洞云

707

推送总计

5430

接报漏洞情况


本周CNNVD接报漏洞236个,其中信息技术产品漏洞(通用型漏洞)227个,网络信息系统漏洞(事件型漏洞)9个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

北京天融信网络安全技术有限公司

17

2

成都创信华通信息技术有限公司

15

3

北京赛博昆仑科技有限公司

12

4

零日信安(武汉市)技术有限责任公司

11

5

安恒愿景(成都)信息科技有限公司

10

6

个人

10

7

杭州安恒信息技术股份有限公司

8

8

苏州棱镜七彩信息科技有限公司

8

9

北京安博通科技股份有限公司

7

10

北京华云安信息技术有限公司

7

11

北京神州绿盟科技有限公司

7

12

北京天地和兴科技有限公司

7

13

内蒙古旌云科技有限公司

7

14

北京安信天行科技有限公司

6

15

途耀信息技术(上海)有限公司

6

16

浙江大华技术股份有限公司

6

17

中资网络信息安全科技有限公司

6

18

北京灰度科技有限公司

5

19

河南天祺信息安全技术有限公司

5

20

山石网科通信技术股份有限公司

5

21

河南东方云盾信息技术有限公司

4

22

浙江极安信息科技有限公司

4

23

广州竞远安全技术股份有限公司

3

24

河南灵创电子科技有限公司

3

25

江苏嘉恩网络安全科技有限公司

3

26

天津市兴先道科技有限公司

3

27

北京安胜华信科技有限公司

2

28

北京卓识网安技术股份有限公司

2

29

黑龙江智泽测评科技有限公司

2

30

恒安嘉新(北京)科技股份公司

2

31

湖南中测网安信息技术有限公司

2

32

江苏嘉玖信息科技有限公司

2

33

京东科技信息技术有限公司

2

34

南京聚铭网络科技有限公司

2

35

赛尔网络有限公司

2

36

三六零数字安全科技集团有限公司

2

37

上海云盾信息技术有限公司

2

38

腾讯云计算(北京)有限责任公司

2

39

浙江齐安信息科技有限公司

2

40

中电智安科技有限公司

2

41

中孚安全技术有限公司

2

42

北京安华金和科技有限公司

1

43

北京触点互动信息技术有限公司

1

44

北京启明星辰信息安全技术有限公司

1

45

北京威努特技术有限公司

1

46

北京长亭科技有限公司

1

47

成都数默科技有限公司

1

48

广州纬安科技有限公司

1

49

杭州海康威视数字技术股份有限公司

1

50

河北东鼎电子科技有限公司

1

51

建信金融科技有限责任公司

安全攻防实验室

1

52

江苏通付盾科技有限公司

1

53

马鞍山书拓安全科技有限公司

1

54

奇安信网神信息技术(北京)股份有限公司

1

55

锐捷网络股份有限公司

1

56

山东鼎夏智能科技有限公司

1

57

山东云天安全技术有限公司

1

58

上海斗象信息科技有限公司

1

59

深圳市能信安科技股份有限公司

1

60

远江盛邦(北京)网络安全科技股份有限公司

1

61

浙江国利网安科技有限公司

1

62

中国电信股份有限公司网络安全产品运营中心

1

报送总计

236

收录漏洞通报情况


本周CNNVD收录漏洞通报79份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

15

2

安恒愿景(成都)信息科技有限公司

6

3

南京禾盾信息科技有限公司

4

4

河南灵创电子科技有限公司

3

5

华为技术有限公司

3

6

浙江大华技术股份有限公司

3

7

中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)

3

8

北京安博通科技股份有限公司

2

9

北京天防安全科技有限公司

2

10

北京天融信网络安全技术有限公司

2

11

北京网藤科技有限公司

2

12

广东省信息安全测评中心

2

13

广州纬安科技有限公司

2

14

河南悦海数安科技有限公司

2

15

江西渝融云安全科技有限公司

2

16

上海斗象信息科技有限公司

2

17

上海矢安科技有限公司

2

18

北京安胜华信科技有限公司

1

19

北京安信天行科技有限公司

1

20

北京华云安信息技术有限公司

1

21

北京长亭科技有限公司

1

22

北京中金安服科技有限公司

1

23

成都卫士通信息安全技术有限公司

1

24

杭州默安科技有限公司

1

25

河南东方云盾信息技术有限公司

1

26

建信金融科技有限责任公司安全攻防实验室

1

27

江苏嘉恩网络安全科技有限公司

1

28

江苏嘉玖信息科技有限公司

1

29

马鞍山书拓安全科技有限公司

1

30

奇安信网神信息技术(北京)股份有限公司

1

31

三六零数字安全科技集团有限公司

1

32

深信服科技股份有限公司

1

33

深圳建安润星安全技术有限公司

1

34

苏州棱镜七彩信息科技有限公司

1

35

途耀信息技术(上海)有限公司

1

36

新华三技术有限公司

1

37

云上广济(贵州)信息技术有限公司

1

38

长扬科技(北京)股份有限公司

1

39

浙江极安信息科技有限公司

1

收录总计

79

重大漏洞通报


CNNVD关于PHP 操作系统

命令注入漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于PHP 操作系统命令注入漏洞(CNNVD-202406-852、CVE-2024-4577)情况的报送。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP多个版本受该漏洞影响。目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

1.漏洞介绍

PHP是一种在服务器端执行的脚本语言,适用于开发动态网站和Web应用程序。未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入攻击在目标PHP服务器上远程执行代码,获取敏感信息或造成服务器崩溃。

2.危害影响

未经身份认证的攻击者可以使用特定的字符序列绕过防护,通过参数注入的方式在目标服务器上远程执行代码。PHP 8.1至8.1.29之前版本,PHP 8.3至8.3.8之前版本,PHP 8.2至8.2.20之前版本均受该漏洞影响。

3.修复建议

目前,PHP官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方更新版本下载链接:

https://www.php.net/downloads.php

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2