信息安全漏洞周报（2024年第23期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年5月27日至2024年6月2日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞537个。

接报漏洞情况

本周CNNVD接报漏洞4590个，其中信息技术产品漏洞（通用型漏洞）244个，网络信息系统漏洞（事件型漏洞）20个，漏洞平台推送漏洞4326个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞537个，漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多，有102个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到5.59%。新增漏洞中，超危漏洞34个，高危漏洞92个，中危漏洞403个，低危漏洞8个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞537个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，Linux基金会新增漏洞最多，有102个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Linux基金会

102

18.99%

2

WordPress基金会

79

14.71%

3

JetBrains

18

3.35%

4

libigl

17

3.17%

5

Ivanti

17

3.17%

本周国内厂商漏洞49个，宏正自动科技公司漏洞数量最多，有9个。国内厂商漏洞整体修复率为38.78%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到5.59%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

30

5.59%

2

SQL注入

28

5.21%

3

缓冲区错误

16

2.98%

4

路径遍历

3

0.56%

5

操作系统命令注入

3

0.56%

6

跨站请求伪造

3

0.56%

7

输入验证错误

3

0.56%

8

访问控制错误

2

0.37%

9

加密问题

2

0.37%

10

信任管理问题

2

0.37%

11

代码注入

1

0.19%

12

代码问题

1

0.19%

13

安全特征问题

1

0.19%

14

资源管理错误

1

0.19%

15

权限许可和访问控制问题

1

0.19%

16

信息泄露

1

0.19%

17

其他

439

81.75%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞34个，高危漏洞92个，中危漏洞403个，低危漏洞8个。相应修复率分别为73.53%、70.65%、75.43%和75.00%。根据补丁信息统计，合计400个漏洞已有修复补丁发布，整体修复率为74.49%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

34

25

73.53%

2

高危

92

65

70.65%

3

中危

403

304

75.43%

4

低危

8

6

75.00%

合计

537

400

74.49%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

类型

漏洞编号

厂商

漏洞实例

是否修复

危害等级

1

其他

CNNVD-202405-4744

WordPress基金会

WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 安全漏洞

是

超危

2

其他

CNNVD-202405-4979

谷歌

Google Chrome 安全漏洞

是

高危

3

信任管理问题

CNNVD-202405-5015

IBM

IBM Security Verify Access Docker 信任管理问题漏洞

是

高危

1.WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 安全漏洞（CNNVD-202405-4744）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 3.4.3版本及之前版本存在安全漏洞，该漏洞源于缺少对文件类型的验证。攻击者利用该漏洞可以上传任意文件从而远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/id/8ebb1072-ea05-4914-961d-0d8f20248078?source=cve

2.Google Chrome 安全漏洞（CNNVD-202405-4979）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 125.0.6422.141之前版本存在安全漏洞，该漏洞源于允许越界访问内存。远程攻击者利用该漏洞通过特制的HTML页面可导致堆损坏。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop\_30.html

3.IBM Security Verify Access Docker 信任管理问题漏洞（CNNVD-202405-5015）

IBM Security Verify Access Docker是美国国际商业机器（IBM）公司的一款可用于为Docker配置Security Verify Access环境的服务。

IBM Security Verify Access Docker 10.0.0版本至10.0.6版本存在信任管理问题漏洞，该漏洞源于对证书验证不当。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7155356

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞4326个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

补天平台

4085

2

360漏洞云

241

推送总计

4326

三、接报漏洞情况

本周CNNVD接报漏洞264个，其中信息技术产品漏洞（通用型漏洞）244个，网络信息系统漏洞（事件型漏洞）20个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

成都创信华通信息技术有限公司

38

2

个人

27

3

北京天融信网络安全技术有限公司

21

4

河南东方云盾信息技术有限公司

12

5

北京容辉智信科技有限公司

11

6

杭州默安科技有限公司

10

7

中资网络信息安全科技有限公司

10

8

奇安信网神信息技术（北京）股份有限公司

9

9

北京安博通科技股份有限公司

8

10

三六零数字安全科技集团有限公司

8

11

零日信安（武汉市）技术有限责任公司

7

12

北京赛博昆仑科技有限公司

6

13

华为技术有限公司

6

14

南京共美科技有限公司

6

15

西安交大捷普网络科技有限公司

6

16

北京安信天行科技有限公司

5

17

西安四叶草信息技术有限公司

5

18

北京天地和兴科技有限公司

4

19

广州竞远安全技术股份有限公司

4

20

北京天防安全科技有限公司

3

21

成都数默科技有限公司

3

22

河南灵创电子科技有限公司

3

23

江苏嘉恩网络安全科技有限公司

3

24

内蒙古服安科技有限公司

3

25

山西轩辕信息安全技术有限公司

3

26

上海匡创信息技术有限公司

3

27

途耀信息技术（上海）有限公司

3

28

北京雪诺科技有限公司

2

29

国网宁夏电科院

2

30

江西神舟信息安全评估中心有限公司

2

31

赛尔网络有限公司

2

32

上海安般信息科技有限公司

2

33

四川溯蓉信创科技有限公司

2

34

苏州棱镜七彩信息科技有限公司

2

35

浙江同济科技职业学院

2

36

北京安天网络安全技术有限公司

1

37

北京华云安信息技术有限公司

1

38

北京威努特技术有限公司

1

39

北京有略安全技术有限公司

1

40

北京长亭科技有限公司

1

41

福建银数信息技术有限公司

1

42

杭州海康威视数字技术股份有限公司

1

43

恒安嘉新(北京)科技股份公司

1

44

淮安易云科技有限公司

1

45

江苏嘉玖信息科技有限公司

1

46

京东科技信息技术有限公司

1

47

马鞍山书拓安全科技有限公司

1

48

南京聚铭网络科技有限公司

1

49

内蒙古数字安全科技有限公司

1

50

山东云天安全技术有限公司

1

51

上海谋乐网络科技有限公司

1

52

深信服科技股份有限公司

1

53

天津市兴先道科技有限公司

1

54

云上广济（贵州）信息技术有限公司

1

55

中电信数智科技有限公司

1

56

中科信息安全共性技术国家工程研究中心有限公司

1

报送总计

264

四、收录漏洞通报情况

本周CNNVD收录漏洞通报68份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

中孚安全技术有限公司

11

2

南京禾盾信息科技有限公司

10

3

安全邦（北京）信息技术有限公司

5

4

内蒙古数字安全科技有限公司

5

5

浙江大华技术股份有限公司

5

6

河南东方云盾信息技术有限公司

4

7

北京安天网络安全技术有限公司

3

8

河南天祺信息安全技术有限公司

3

9

江西和尔惠信息技术有限公司

3

10

马鞍山书拓安全科技有限公司

3

11

内蒙古御网科技有限责任公司

3

12

北京触点互动信息技术有限公司

2

13

奇安信网神信息技术（北京）股份有限公司

2

14

安徽三实软件科技有限公司

1

15

北京网藤科技有限公司

1

16

北京长亭科技有限公司

1

17

超聚变数字技术有限公司

1

18

华为技术有限公司

1

19

天津市兴先道科技有限公司

1

20

永信至诚科技集团股份有限公司

1

21

浙江极安信息科技有限公司

1

22

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

1

收录总计

68