点击蓝字 关注我们
根据国家信息安全漏洞库(CNNVD)统计,本周(2024年5月20日至2024年5月26日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1063个。
接报漏洞情况
本周CNNVD接报漏洞5077个,其中信息技术产品漏洞(通用型漏洞)155个,网络信息系统漏洞(事件型漏洞)33个,漏洞平台推送漏洞4889个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1063个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有576个;从漏洞类型来看,SQL注入类的安全漏洞占比最大,达到4.33%。新增漏洞中,超危漏洞26个,高危漏洞60个,中危漏洞974个,低危漏洞3个。
本周CNNVD采集安全漏洞1063个。
图1 近五周漏洞新增数量统计图
从厂商分布来看,Linux基金会新增漏洞最多,有576个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
Linux基金会
576
54.19%
2
WordPress基金会
118
11.10%
3
Campcodes
26
2.45%
4
网钛科技
12
1.13%
5
友讯
9
0.85%
本周国内厂商漏洞77个,网钛科技公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为25.30%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, SQL注入类的安全漏洞占比最大,达到4.33%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
SQL注入
46
4.33%
2
跨站脚本
46
4.33%
3
操作系统命令注入
6
0.56%
4
路径遍历
4
0.38%
5
命令注入
4
0.38%
6
信息泄露
4
0.38%
7
代码问题
3
0.28%
8
缓冲区错误
2
0.19%
9
访问控制错误
2
0.19%
10
输入验证错误
1
0.09%
11
跨站请求伪造
1
0.09%
12
其他
944
88.81%
本周共发布超危漏洞26个,高危漏洞60个,中危漏洞974个,低危漏洞3个。相应修复率分别为46.15%、81.67%、81.93%和66.67%。根据补丁信息统计,合计861个漏洞已有修复补丁发布,整体修复率为81.00%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
26
12
46.15%
2
高危
60
49
81.67%
3
中危
974
798
81.93%
4
低危
3
2
66.67%
合计
1063
861
81.00%
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号
漏洞
类型
漏洞编号
厂商
漏洞实例
是否修复
危害等级
1
其他
CNNVD-202405-4304
WordPress基金会
WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞
是
超危
2
缓冲区错误
CNNVD-202405-4250
Adobe
Adobe Acrobat Reader 缓冲区错误漏洞
是
高危
3
其他
CNNVD-202405-4216
思科
Cisco Firepower Management Center 安全漏洞
是
高危
1.WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞(CNNVD-202405-4304)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Hash Form Drag Drop Form Builder 1.1.0版本及之前版本存在安全漏洞,该漏洞源于file_upload_action函数中缺少对文件类型验证。攻击者利用该漏洞在受影响网站的服务器上上传任意文件,从而实现远程代码执行。
目前厂商已发布升级补丁以修复漏洞,参考链接:
2.Adobe Acrobat Reader 缓冲区错误漏洞(CNNVD-202405-4250)
Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器,该软件用于打印,签名和注释PDF。
Adobe Acrobat Reader 24.002.20736版本及之前版本存在缓冲区错误漏洞,该漏洞源于允许内存越界写入。攻击者利用该漏洞在当前用户的环境中执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://helpx.adobe.com/security/products/acrobat/apsb24-29.html
3.Cisco Firepower Management Center 安全漏洞(CNNVD-202405-4216)
Cisco Firepower Management Center(FMC)是美国思科(Cisco)公司的新一代防火墙管理中心软件。
Cisco Firepower Management Center 1.1版本存在安全漏洞,该漏洞源于基于Web的管理界面无法充分验证用户输入。远程攻击者利用该漏洞对受影响的系统进行SQL注入攻击。
目前厂商已发布升级补丁以修复漏洞,参考链接:
二、漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞4889个。
表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
3584
2
补天平台
1305
推送总计
4889
三、接报漏洞情况
本周CNNVD接报漏洞188个,其中信息技术产品漏洞(通用型漏洞)155个,网络信息系统漏洞(事件型漏洞)33个。
表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
北京天融信网络安全技术有限公司
23
2
星云博创科技有限公司
21
3
个人
20
4
北京天地和兴科技有限公司
10
5
中资网络信息安全科技有限公司
7
6
上海安识网络科技有限公司
6
7
河南东方云盾信息技术有限公司
5
8
河南灵创电子科技有限公司
5
9
奇安信网神信息技术(北京)股份有限公司
5
10
厦门服云信息科技有限公司
5
11
深信服科技股份有限公司
5
12
安恒愿景(成都)信息科技有限公司
4
13
北京触点互动信息技术有限公司
4
14
广州竞远安全技术股份有限公司
4
15
西安四叶草信息技术有限公司
4
16
远江盛邦(北京)网络安全科技股份有限公司
4
17
北京华云安信息技术有限公司
3
18
北京有略安全技术有限公司
3
19
成都安美勤信息技术股份有限公司
3
20
江苏讯安信息安全技术有限公司
3
21
马鞍山书拓安全科技有限公司
3
22
天津市兴先道科技有限公司
3
23
中国电信股份有限公司网络安全产品运营中心
3
24
安全邦(北京)信息技术有限公司
2
25
北京神州绿盟科技有限公司
2
26
杭州海康威视数字技术股份有限公司
2
27
江苏嘉恩网络安全科技有限公司
2
28
江西安极信息技术有限公司
2
29
京东科技信息技术有限公司
2
30
赛尔网络有限公司
2
31
山石网科通信技术股份有限公司
2
32
上海云盾信息技术有限公司
2
33
苏州棱镜七彩信息科技有限公司
2
34
北京六方云信息技术有限公司
1
35
北京墨云科技有限公司
1
36
北京威努特技术有限公司
1
37
北京长亭科技有限公司
1
38
福建银数信息技术有限公司
1
39
广东信网数安科技有限公司
1
40
广州纬安科技有限公司
1
41
杭州美创科技股份有限公司
1
42
河南天祺信息安全技术有限公司
1
43
江苏嘉玖信息科技有限公司
1
44
内蒙古御网科技有限责任公司
1
45
三六零数字安全科技集团有限公司
1
46
山东云天安全技术有限公司
1
47
四维创智(北京)科技发展有限公司
1
48
中电信数智科技有限公司
1
报送总计
188
四、收录漏洞通报情况
本周CNNVD收录漏洞通报98份。
表7本周漏洞通报情况
序号
报送单位
通报总量
1
北京华云安信息技术有限公司
10
2
南京禾盾信息科技有限公司
10
3
中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)
8
4
北京升鑫网络科技有限公司
6
5
奇安信网神信息技术(北京)股份有限公司
6
6
中孚安全技术有限公司
5
7
北京安天网络安全技术有限公司
4
8
河南东方云盾信息技术有限公司
4
9
上海斗象信息科技有限公司
4
10
安徽长泰科技有限公司
3
11
华为技术有限公司
3
12
内蒙古信息系统安全等级测评中心
3
13
山石网科通信技术股份有限公司
3
14
星云博创科技有限公司
3
15
北京山石网科信息技术有限公司
2
16
北京天地和兴科技有限公司
2
17
北京天融信网络安全技术有限公司
2
18
河南悦海数安科技有限公司
2
19
上海匡创信息技术有限公司
2
20
西安交大捷普网络科技有限公司
2
21
北方实验室(沈阳)股份有限公司
1
22
北京神州绿盟科技有限公司
1
23
北京网藤科技有限公司
1
24
北京微步在线科技有限公司
1
25
杭州美创科技股份有限公司
1
26
恒安嘉新(北京)科技股份公司
1
27
江苏讯安信息安全技术有限公司
1
28
锐捷网络股份有限公司
1
29
山东鼎夏智能科技有限公司
1
30
上海云盾信息技术有限公司
1
31
深信服科技股份有限公司
1
32
深圳建安润星安全技术有限公司
1
33
天津市兴先道科技有限公司
1
34
永信至诚科技集团股份有限公司
1
收录总计
98