长亭百川云 - 文章详情

长亭百川云

技术讨论漏洞库IP 威胁情报在线工具
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
漏洞库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2

信息安全漏洞周报(2024年第22期)

CNNVD安全动态

76

2024-07-13

原文链接
markdown-img
预览

点击蓝字 关注我们

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年5月20日至2024年5月26日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1063个。

接报漏洞情况

本周CNNVD接报漏洞5077个,其中信息技术产品漏洞(通用型漏洞)155个,网络信息系统漏洞(事件型漏洞)33个,漏洞平台推送漏洞4889个。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1063个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有576个;从漏洞类型来看,SQL注入类的安全漏洞占比最大,达到4.33%。新增漏洞中,超危漏洞26个,高危漏洞60个,中危漏洞974个,低危漏洞3个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1063个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Linux基金会新增漏洞最多,有576个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Linux基金会

576

54.19%

2

WordPress基金会

118

11.10%

3

Campcodes

26

2.45%

4

网钛科技

12

1.13%

5

友讯

9

0.85%

本周国内厂商漏洞77个,网钛科技公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为25.30%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, SQL注入类的安全漏洞占比最大,达到4.33%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

SQL注入

46

4.33%

2

跨站脚本

46

4.33%

3

操作系统命令注入

6

0.56%

4

路径遍历

4

0.38%

5

命令注入

4

0.38%

6

信息泄露

4

0.38%

7

代码问题

3

0.28%

8

缓冲区错误

2

0.19%

9

访问控制错误

2

0.19%

10

输入验证错误

1

0.09%

11

跨站请求伪造

1

0.09%

12

其他

944

88.81%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞26个,高危漏洞60个,中危漏洞974个,低危漏洞3个。相应修复率分别为46.15%、81.67%、81.93%和66.67%。根据补丁信息统计,合计861个漏洞已有修复补丁发布,整体修复率为81.00%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

26

12

46.15%

2

高危

60

49

81.67%

3

中危

974

798

81.93%

4

低危

3

2

66.67%

合计

1063

861

81.00%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

类型

漏洞编号

厂商

漏洞实例

是否修复

危害等级

1

其他

CNNVD-202405-4304

WordPress基金会

WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞

是

超危

2

缓冲区错误

CNNVD-202405-4250

Adobe

Adobe Acrobat Reader 缓冲区错误漏洞

是

高危

3

其他

CNNVD-202405-4216

思科

Cisco Firepower Management Center 安全漏洞

是

高危

1.WordPress plugin Hash Form Drag Drop Form Builder 安全漏洞(CNNVD-202405-4304)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Hash Form Drag Drop Form Builder 1.1.0版本及之前版本存在安全漏洞,该漏洞源于file_upload_action函数中缺少对文件类型验证。攻击者利用该漏洞在受影响网站的服务器上上传任意文件,从而实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/eef9e2fa-d8f0-42bf-95ac-ee4cafff0b14?source=cve

2.Adobe Acrobat Reader 缓冲区错误漏洞(CNNVD-202405-4250)

Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器,该软件用于打印,签名和注释PDF。

Adobe Acrobat Reader 24.002.20736版本及之前版本存在缓冲区错误漏洞,该漏洞源于允许内存越界写入。攻击者利用该漏洞在当前用户的环境中执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/acrobat/apsb24-29.html

3.Cisco Firepower Management Center 安全漏洞(CNNVD-202405-4216)

Cisco Firepower Management Center(FMC)是美国思科(Cisco)公司的新一代防火墙管理中心软件。

Cisco Firepower Management Center 1.1版本存在安全漏洞,该漏洞源于基于Web的管理界面无法充分验证用户输入。远程攻击者利用该漏洞对受影响的系统进行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sqli-WFFDnNOs

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞4889个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

漏洞盒子

3584

2

补天平台

1305

推送总计

4889

三、接报漏洞情况

本周CNNVD接报漏洞188个,其中信息技术产品漏洞(通用型漏洞)155个,网络信息系统漏洞(事件型漏洞)33个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

北京天融信网络安全技术有限公司

23

2

星云博创科技有限公司

21

3

个人

20

4

北京天地和兴科技有限公司

10

5

中资网络信息安全科技有限公司

7

6

上海安识网络科技有限公司

6

7

河南东方云盾信息技术有限公司

5

8

河南灵创电子科技有限公司

5

9

奇安信网神信息技术(北京)股份有限公司

5

10

厦门服云信息科技有限公司

5

11

深信服科技股份有限公司

5

12

安恒愿景(成都)信息科技有限公司

4

13

北京触点互动信息技术有限公司

4

14

广州竞远安全技术股份有限公司

4

15

西安四叶草信息技术有限公司

4

16

远江盛邦(北京)网络安全科技股份有限公司

4

17

北京华云安信息技术有限公司

3

18

北京有略安全技术有限公司

3

19

成都安美勤信息技术股份有限公司

3

20

江苏讯安信息安全技术有限公司

3

21

马鞍山书拓安全科技有限公司

3

22

天津市兴先道科技有限公司

3

23

中国电信股份有限公司网络安全产品运营中心

3

24

安全邦(北京)信息技术有限公司

2

25

北京神州绿盟科技有限公司

2

26

杭州海康威视数字技术股份有限公司

2

27

江苏嘉恩网络安全科技有限公司

2

28

江西安极信息技术有限公司

2

29

京东科技信息技术有限公司

2

30

赛尔网络有限公司

2

31

山石网科通信技术股份有限公司

2

32

上海云盾信息技术有限公司

2

33

苏州棱镜七彩信息科技有限公司

2

34

北京六方云信息技术有限公司

1

35

北京墨云科技有限公司

1

36

北京威努特技术有限公司

1

37

北京长亭科技有限公司

1

38

福建银数信息技术有限公司

1

39

广东信网数安科技有限公司

1

40

广州纬安科技有限公司

1

41

杭州美创科技股份有限公司

1

42

河南天祺信息安全技术有限公司

1

43

江苏嘉玖信息科技有限公司

1

44

内蒙古御网科技有限责任公司

1

45

三六零数字安全科技集团有限公司

1

46

山东云天安全技术有限公司

1

47

四维创智(北京)科技发展有限公司

1

48

中电信数智科技有限公司

1

报送总计

188

四、收录漏洞通报情况

本周CNNVD收录漏洞通报98份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

北京华云安信息技术有限公司

10

2

南京禾盾信息科技有限公司

10

3

中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)

8

4

北京升鑫网络科技有限公司

6

5

奇安信网神信息技术(北京)股份有限公司

6

6

中孚安全技术有限公司

5

7

北京安天网络安全技术有限公司

4

8

河南东方云盾信息技术有限公司

4

9

上海斗象信息科技有限公司

4

10

安徽长泰科技有限公司

3

11

华为技术有限公司

3

12

内蒙古信息系统安全等级测评中心

3

13

山石网科通信技术股份有限公司

3

14

星云博创科技有限公司

3

15

北京山石网科信息技术有限公司

2

16

北京天地和兴科技有限公司

2

17

北京天融信网络安全技术有限公司

2

18

河南悦海数安科技有限公司

2

19

上海匡创信息技术有限公司

2

20

西安交大捷普网络科技有限公司

2

21

北方实验室(沈阳)股份有限公司

1

22

北京神州绿盟科技有限公司

1

23

北京网藤科技有限公司

1

24

北京微步在线科技有限公司

1

25

杭州美创科技股份有限公司

1

26

恒安嘉新(北京)科技股份公司

1

27

江苏讯安信息安全技术有限公司

1

28

锐捷网络股份有限公司

1

29

山东鼎夏智能科技有限公司

1

30

上海云盾信息技术有限公司

1

31

深信服科技股份有限公司

1

32

深圳建安润星安全技术有限公司

1

33

天津市兴先道科技有限公司

1

34

永信至诚科技集团股份有限公司

1

收录总计

98

相关推荐