信息安全漏洞周报（2024年第24期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年6月3日至2024年6月9日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞798个。

接报漏洞情况

本周CNNVD接报漏洞7795个，其中信息技术产品漏洞（通用型漏洞）246个，网络信息系统漏洞（事件型漏洞）68个，漏洞平台推送漏洞7481个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞798个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有397个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到10.28%。新增漏洞中，超危漏洞30个，高危漏洞116个，中危漏洞648个，低危漏洞4个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞798个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有397个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

397

49.75%

2

三星

38

4.76%

3

lunary

14

1.75%

4

高通

12

1.50%

5

联发科

11

1.38%

本周国内厂商漏洞39个，联发科公司漏洞数量最多，有11个。国内厂商漏洞整体修复率为72.50%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到10.28%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

82

10.28%

2

SQL注入

22

2.76%

3

代码问题

21

2.63%

4

信息泄露

16

2.01%

5

路径遍历

13

1.63%

6

授权问题

12

1.50%

7

输入验证错误

9

1.13%

8

访问控制错误

8

1.00%

9

跨站请求伪造

8

1.00%

10

操作系统命令注入

8

1.00%

11

日志信息泄露

4

0.50%

12

命令注入

3

0.38%

13

资源管理错误

2

0.25%

14

注入

1

0.13%

15

数据伪造问题

1

0.13%

16

竞争条件问题

1

0.13%

17

代码注入

1

0.13%

18

信任管理问题

1

0.13%

19

其他

585

73.31%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞30个，高危漏洞116个，中危漏洞648个，低危漏洞4个。相应修复率分别为83.33%、75.86%、81.79%和75.00%。根据补丁信息统计，合计646个漏洞已有修复补丁发布，整体修复率为80.95%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

30

25

83.33%

2

高危

116

88

75.86%

3

中危

648

530

81.79%

4

低危

4

3

75.00%

合计

798

646

80.95%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

类型

漏洞编号

厂商

漏洞实例

是否修复

危害等级

1

路径遍历

CNNVD-202406-159

Apache基金会

Apache OFBiz 路径遍历漏洞

是

超危

2

代码问题

CNNVD-202406-373

思科

Cisco Finesse 代码问题漏洞

是

高危

3

其他

CNNVD-202406-346

WordPress基金会

WordPress plugin Brizy 安全漏洞

是

高危

1.Apache OFBiz 路径遍历漏洞（CNNVD-202406-159）

Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz 18.12.14之前版本存在路径遍历漏洞，该漏洞源于对路径名限制不当。攻击者利用该漏洞可以读取服务器上的任意文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/sv0xr8b1j7mmh5p37yldy9vmnzbodz2o

2.Cisco Finesse 代码问题漏洞（CNNVD-202406-373）

Cisco Finesse是美国思科（Cisco）公司的一套呼叫中心管理软件。

Cisco Finesse存在代码问题漏洞，该漏洞源于对用户输入验证不足。攻击者利用该漏洞可以获取敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew

3.WordPress plugin Brizy 安全漏洞（CNNVD-202406-346）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Brizy 2.4.43版本及之前版本存在安全漏洞，该漏洞源于对用户提供的属性的输入清理和输出转义不足。攻击者利用该漏洞可以在页面中注入任意Web脚本。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/brizy/

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞7481个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

补天平台

6819

2

360漏洞云

399

3

漏洞盒子

263

推送总计

7481

三、接报漏洞情况

本周CNNVD接报漏洞314个，其中信息技术产品漏洞（通用型漏洞）246个，网络信息系统漏洞（事件型漏洞）68个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

内蒙古旌云科技有限公司

46

2

北京安天网络安全技术有限公司

23

3

北京天融信网络安全技术有限公司

23

4

个人

21

5

星云博创科技有限公司

20

6

成都创信华通信息技术有限公司

15

7

中孚安全技术有限公司

15

8

中国电信股份有限公司网络安全产品运营中心

11

9

北京赛博昆仑科技有限公司

10

10

中资网络信息安全科技有限公司

10

11

华为技术有限公司

8

12

江西中和证信息安全技术有限公司

8

13

北京天地和兴科技有限公司

7

14

北京安博通科技股份有限公司

6

15

三六零数字安全科技集团有限公司

6

16

安徽三实软件科技有限公司

5

17

零日信安（武汉市）技术有限责任公司

5

18

安恒愿景（成都）信息科技有限公司

4

19

广州竞远安全技术股份有限公司

4

20

河南灵创电子科技有限公司

4

21

新基信息技术集团股份有限公司

4

22

北方实验室（沈阳）股份有限公司

3

23

成都安美勤信息技术股份有限公司

3

24

佛山市星络科技有限公司

3

25

国威（北京）信息安全技术有限公司

3

26

河南东方云盾信息技术有限公司

3

27

深信服科技股份有限公司

3

28

深圳海云安网络安全技术有限公司

3

29

深圳建安润星安全技术有限公司

3

30

湖北肆安科技有限公司

2

31

赛尔网络有限公司

2

32

天津市兴先道科技有限公司

2

33

武汉非尼克斯软件技术有限公司

2

34

北京比瓴科技有限公司

1

35

北京神州绿盟科技有限公司

1

36

超聚变数字技术有限公司

1

37

成都数默科技有限公司

1

38

甘肃赛飞安全科技有限公司

1

39

贵州泰若数字科技有限公司

1

40

国网宁夏电科院

1

41

杭州安恒信息技术股份有限公司

1

42

河南天祺信息安全技术有限公司

1

43

湖南中测网安信息技术有限公司

1

44

浪潮电子信息产业股份有限公司

1

45

马鞍山书拓安全科技有限公司

1

46

内蒙古服安科技有限公司

1

47

厦门服云信息科技有限公司

1

48

山石网科通信技术股份有限公司

1

49

山西轩辕信息安全技术有限公司

1

50

上海吨吨信息技术有限公司

1

51

上海嘉韦思信息技术有限公司

1

52

上海匡创信息技术有限公司

1

53

上海云盾信息技术有限公司

1

54

上海只柏特信息技术有限公司

1

55

腾讯云计算（北京）有限责任公司

1

56

天翼数智科技（北京）有限公司

1

57

西藏熙安信息技术有限责任公司

1

58

浙江齐安信息科技有限公司

1

59

中科信息安全共性技术国家工程研究中心有限公司

1

60

中控技术股份有限公司

1

报送总计

314

四、收录漏洞通报情况

本周CNNVD收录漏洞通报110份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

15

2

浙江极安信息科技有限公司

8

3

南京禾盾信息科技有限公司

5

4

浙江大华技术股份有限公司

5

5

工业和信息化部电子第五研究所

4

6

江西神舟信息安全评估中心有限公司

4

7

深信服科技股份有限公司

4

8

新华三技术有限公司

4

9

北京安博通科技股份有限公司

3

10

北京国信城研科学技术研究院

3

11

北京网藤科技有限公司

3

12

河南天祺信息安全技术有限公司

3

13

华为技术有限公司

3

14

深圳建安润星安全技术有限公司

3

15

天津市兴先道科技有限公司

3

16

永信至诚科技集团股份有限公司

3

17

中科信息安全共性技术国家工程研究中心有限公司

3

18

北京安天网络安全技术有限公司

2

19

北京天融信网络安全技术有限公司

2

20

贵州泰若数字科技有限公司

2

21

河南东方云盾信息技术有限公司

2

22

奇安信网神信息技术（北京）股份有限公司

2

23

上海戟安科技有限公司

2

24

北京触点互动信息技术有限公司

1

25

北京华云安信息技术有限公司

1

26

北京启明星辰信息安全技术有限公司

1

27

北京山石网科信息技术有限公司

1

28

北京天地和兴科技有限公司

1

29

北京信联数安科技有限公司

1

30

北京长亭科技有限公司

1

31

道普信息技术有限公司

1

32

广州纬安科技有限公司

1

33

贵州数创控股（集团）有限公司

1

34

杭州安恒信息技术股份有限公司

1

35

杭州迪普科技股份有限公司

1

36

江西和尔惠信息技术有限公司

1

37

马鞍山书拓安全科技有限公司

1

38

锐捷网络股份有限公司

1

39

三六零数字安全科技集团有限公司

1

40

深圳市网安计算机安全检测技术有限公司

1

41

苏州棱镜七彩信息科技有限公司

1

42

远江盛邦(北京)网络安全科技股份有限公司

1

43

云上广济（贵州）信息技术有限公司

1

44

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

1

45

重庆梦之想科技有限责任公司

1

收录总计

110