信息安全漏洞周报（2024年第22期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年5月20日至2024年5月26日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞1063个。

接报漏洞情况

本周CNNVD接报漏洞5077个，其中信息技术产品漏洞（通用型漏洞）155个，网络信息系统漏洞（事件型漏洞）33个，漏洞平台推送漏洞4889个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1063个，漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多，有576个；从漏洞类型来看，SQL注入类的安全漏洞占比最大，达到4.33%。新增漏洞中，超危漏洞26个，高危漏洞60个，中危漏洞974个，低危漏洞3个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1063个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，Linux基金会新增漏洞最多，有576个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Linux基金会

576

54.19%

2

WordPress基金会

118

11.10%

3

Campcodes

26

2.45%

4

网钛科技

12

1.13%

5

友讯

9

0.85%

本周国内厂商漏洞77个，网钛科技公司漏洞数量最多，有12个。国内厂商漏洞整体修复率为25.30%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, SQL注入类的安全漏洞占比最大，达到4.33%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

SQL注入

46

4.33%

2

跨站脚本

46

4.33%

3

操作系统命令注入

6

0.56%

4

路径遍历

4

0.38%

5

命令注入

4

0.38%

6

信息泄露

4

0.38%

7

代码问题

3

0.28%

8

缓冲区错误

2

0.19%

9

访问控制错误

2

0.19%

10

输入验证错误

1

0.09%

11

跨站请求伪造

1

0.09%

12

其他

944

88.81%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞26个，高危漏洞60个，中危漏洞974个，低危漏洞3个。相应修复率分别为46.15%、81.67%、81.93%和66.67%。根据补丁信息统计，合计861个漏洞已有修复补丁发布，整体修复率为81.00%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

26

12

46.15%

2

高危

60

49

81.67%

3

中危

974

798

81.93%

4

低危

3

2

66.67%

合计

1063

861

81.00%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

类型

漏洞编号

厂商

漏洞实例

是否修复

危害等级

1

其他

CNNVD-202405-4304

WordPress基金会

WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞

是

超危

2

缓冲区错误

CNNVD-202405-4250

Adobe

Adobe Acrobat Reader 缓冲区错误漏洞

是

高危

3

其他

CNNVD-202405-4216

思科

Cisco Firepower Management Center 安全漏洞

是

高危

1.WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞（CNNVD-202405-4304）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Hash Form Drag Drop Form Builder 1.1.0版本及之前版本存在安全漏洞，该漏洞源于file_upload_action函数中缺少对文件类型验证。攻击者利用该漏洞在受影响网站的服务器上上传任意文件，从而实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/id/eef9e2fa-d8f0-42bf-95ac-ee4cafff0b14?source=cve

2.Adobe Acrobat Reader 缓冲区错误漏洞（CNNVD-202405-4250）

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器，该软件用于打印，签名和注释PDF。

Adobe Acrobat Reader 24.002.20736版本及之前版本存在缓冲区错误漏洞，该漏洞源于允许内存越界写入。攻击者利用该漏洞在当前用户的环境中执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://helpx.adobe.com/security/products/acrobat/apsb24-29.html

3.Cisco Firepower Management Center 安全漏洞（CNNVD-202405-4216）

Cisco Firepower Management Center（FMC）是美国思科（Cisco）公司的新一代防火墙管理中心软件。

Cisco Firepower Management Center 1.1版本存在安全漏洞，该漏洞源于基于Web的管理界面无法充分验证用户输入。远程攻击者利用该漏洞对受影响的系统进行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sqli-WFFDnNOs

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞4889个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

3584

2

补天平台

1305

推送总计

4889

三、接报漏洞情况

本周CNNVD接报漏洞188个，其中信息技术产品漏洞（通用型漏洞）155个，网络信息系统漏洞（事件型漏洞）33个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

北京天融信网络安全技术有限公司

23

2

星云博创科技有限公司

21

3

个人

20

4

北京天地和兴科技有限公司

10

5

中资网络信息安全科技有限公司

7

6

上海安识网络科技有限公司

6

7

河南东方云盾信息技术有限公司

5

8

河南灵创电子科技有限公司

5

9

奇安信网神信息技术（北京）股份有限公司

5

10

厦门服云信息科技有限公司

5

11

深信服科技股份有限公司

5

12

安恒愿景（成都）信息科技有限公司

4

13

北京触点互动信息技术有限公司

4

14

广州竞远安全技术股份有限公司

4

15

西安四叶草信息技术有限公司

4

16

远江盛邦(北京)网络安全科技股份有限公司

4

17

北京华云安信息技术有限公司

3

18

北京有略安全技术有限公司

3

19

成都安美勤信息技术股份有限公司

3

20

江苏讯安信息安全技术有限公司

3

21

马鞍山书拓安全科技有限公司

3

22

天津市兴先道科技有限公司

3

23

中国电信股份有限公司网络安全产品运营中心

3

24

安全邦（北京）信息技术有限公司

2

25

北京神州绿盟科技有限公司

2

26

杭州海康威视数字技术股份有限公司

2

27

江苏嘉恩网络安全科技有限公司

2

28

江西安极信息技术有限公司

2

29

京东科技信息技术有限公司

2

30

赛尔网络有限公司

2

31

山石网科通信技术股份有限公司

2

32

上海云盾信息技术有限公司

2

33

苏州棱镜七彩信息科技有限公司

2

34

北京六方云信息技术有限公司

1

35

北京墨云科技有限公司

1

36

北京威努特技术有限公司

1

37

北京长亭科技有限公司

1

38

福建银数信息技术有限公司

1

39

广东信网数安科技有限公司

1

40

广州纬安科技有限公司

1

41

杭州美创科技股份有限公司

1

42

河南天祺信息安全技术有限公司

1

43

江苏嘉玖信息科技有限公司

1

44

内蒙古御网科技有限责任公司

1

45

三六零数字安全科技集团有限公司

1

46

山东云天安全技术有限公司

1

47

四维创智（北京）科技发展有限公司

1

48

中电信数智科技有限公司

1

报送总计

188

四、收录漏洞通报情况

本周CNNVD收录漏洞通报98份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

北京华云安信息技术有限公司

10

2

南京禾盾信息科技有限公司

10

3

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

8

4

北京升鑫网络科技有限公司

6

5

奇安信网神信息技术（北京）股份有限公司

6

6

中孚安全技术有限公司

5

7

北京安天网络安全技术有限公司

4

8

河南东方云盾信息技术有限公司

4

9

上海斗象信息科技有限公司

4

10

安徽长泰科技有限公司

3

11

华为技术有限公司

3

12

内蒙古信息系统安全等级测评中心

3

13

山石网科通信技术股份有限公司

3

14

星云博创科技有限公司

3

15

北京山石网科信息技术有限公司

2

16

北京天地和兴科技有限公司

2

17

北京天融信网络安全技术有限公司

2

18

河南悦海数安科技有限公司

2

19

上海匡创信息技术有限公司

2

20

西安交大捷普网络科技有限公司

2

21

北方实验室（沈阳）股份有限公司

1

22

北京神州绿盟科技有限公司

1

23

北京网藤科技有限公司

1

24

北京微步在线科技有限公司

1

25

杭州美创科技股份有限公司

1

26

恒安嘉新(北京)科技股份公司

1

27

江苏讯安信息安全技术有限公司

1

28

锐捷网络股份有限公司

1

29

山东鼎夏智能科技有限公司

1

30

上海云盾信息技术有限公司

1

31

深信服科技股份有限公司

1

32

深圳建安润星安全技术有限公司

1

33

天津市兴先道科技有限公司

1

34

永信至诚科技集团股份有限公司

1

收录总计

98