长亭百川云 - 文章详情

信息安全漏洞周报(2024年第29期 )

CNNVD安全动态

70

2024-07-18

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年7月8日至2024年7月14日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1001个。

接报漏洞情况

本周CNNVD接报漏洞20055个,其中信息技术产品漏洞(通用型漏洞)255个,网络信息系统漏洞(事件型漏洞)57个,漏洞平台推送漏洞19743个。

公开漏洞情况


根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1001个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有208个;从漏洞类型来看,代码问题类的安全漏洞占比最大,达到3.00%。新增漏洞中,超危漏洞25个,高危漏洞301个,中危漏洞663个,低危漏洞12个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1001个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有208个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

208

20.78%

2

微软

138

13.79%

3

Linux基金会

133

13.29%

4

Juniper Networks

45

4.50%

5

谷歌

36

3.60%

本周国内厂商漏洞62个,瑞昱半导体公司漏洞数量最多,有19个。国内厂商漏洞整体修复率为54.84%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 代码问题类的安全漏洞占比最大,达到3.00%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

代码问题

30

3.00%

2

路径遍历

24

2.40%

3

SQL注入

22

2.20%

4

信息泄露

12

1.20%

5

跨站脚本

10

1.00%

6

跨站请求伪造

9

0.90%

7

缓冲区错误

9

0.90%

8

操作系统命令注入

7

0.70%

9

资源管理错误

6

0.60%

10

注入

5

0.50%

11

命令注入

4

0.40%

12

信任管理问题

4

0.40%

13

输入验证错误

4

0.40%

14

日志信息泄露

3

0.30%

15

访问控制错误

3

0.30%

16

环境问题

1

0.10%

17

授权问题

1

0.10%

18

数据伪造问题

1

0.10%

19

代码注入

1

0.10%

20

加密问题

1

0.10%

21

其他

844

84.32%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞25个,高危漏洞301个,中危漏洞663个,低危漏洞12个。相应修复率分别为76.00%、96.01%、85.97%和100.00%。根据补丁信息统计,合计890个漏洞已有修复补丁发布,整体修复率为88.91%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

25

19

76.00%

2

高危

301

289

96.01%

3

中危

663

570

85.97%

4

低危

12

12

100.00%

合计

1001

890

88.91%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202407-558

超危

2

CNNVD-202407-957

高危

3

CNNVD-202407-804

高危

1.WordPress plugin OSM – OpenStreetMap 安全漏洞(CNNVD-202407-558)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin OSM – OpenStreetMap 6.0.2版本及之前版本存在安全漏洞,该漏洞源于对用户提供的参数转义不足。攻击者利用该漏洞可以从数据库中提取敏感信息。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/c8eebc67-e590-4d7f-8925-e5e5090cedf0?source=cve

2.Google Android 安全漏洞(CNNVD-202407-957)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。

Google Android存在安全漏洞,该漏洞源于在devicemem_server.c文件的DevmemXIntUnreserveRange方法中发现代码存在逻辑错误。攻击者利用该漏洞可以执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://source.android.com/security/bulletin/2024-06-01

3.Microsoft SQL Server 安全漏洞(CNNVD-2****02407-804)

Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。

Microsoft SQL Server存在安全漏洞,该漏洞源于存在基于堆的缓冲区溢出问题。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Microsoft SQL Server 2017 for x64-based Systems (GDR)、Microsoft SQL Server 2019 for x64-based Systems (GDR)、Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR)、Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack、Microsoft SQL Server 2017 for x64-based Systems (CU 31)、Microsoft SQL Server 2022 for x64-based Systems (GDR)、Microsoft SQL Server 2019 for x64-based Systems (CU 27)和Microsoft SQL Server 2022 for x64-based Systems (CU 13)。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-37333

漏洞平台推送情况


本周CNNVD接收漏洞平台推送漏洞19743个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

补天平台

16652

2

360漏洞云

1868

3

漏洞盒子

1223

推送总计

19743

接报漏洞情况


本周CNNVD接报漏洞312个,其中信息技术产品漏洞(通用型漏洞)255个,网络信息系统漏洞(事件型漏洞)57个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

内蒙古旌云科技有限公司

40

2

个人

25

3

上海安般信息科技有限公司

20

4

北京有略安全技术有限公司

16

5

上海戟安科技有限公司

14

6

安恒愿景(成都)信息科技有限公司

13

7

零日信安(武汉市)技术有限责任公司

11

8

广州纬安科技有限公司

10

9

深信服科技股份有限公司

10

10

北京墨云科技有限公司

9

11

成都安美勤信息技术股份有限公司

9

12

北京天融信网络安全技术有限公司

8

13

途耀信息技术(上海)有限公司

8

14

北京华云安信息技术有限公司

7

15

内蒙古博创信息技术有限公司

7

16

清远职业技术学院

7

17

上海云盾信息技术有限公司

6

18

北京赛博昆仑科技有限公司

5

19

河南东方云盾信息技术有限公司

5

20

华为技术有限公司

5

21

广州锦行网络科技有限公司

4

22

广州竞远安全技术股份有限公司

4

23

上海安识网络科技有限公司

4

24

远江盛邦(北京)网络安全科技股份有限公司

4

25

国网青海省电力公司电力科学研究院

3

26

上海谋乐网络科技有限公司

3

27

苏州市莫张信息科技有限责任公司

3

28

亚信科技(成都)有限公司

3

29

北京安信天行科技有限公司

2

30

北京天防安全科技有限公司

2

31

北京五一嘉峪科技有限公司

2

32

北京星联云网科技有限公司

2

33

杭州中电安科现代科技有限公司

2

34

湖南中测网安信息技术有限公司

2

35

江苏百达智慧网络科技有限公司

2

36

赛尔网络有限公司

2

37

三六零数字安全科技集团有限公司

2

38

上海吨吨信息技术有限公司

2

39

天津市兴先道科技有限公司

2

40

中国电信股份有限公司网络安全产品运营中心

2

41

重庆嘉天琪科技有限公司

2

42

北方实验室(沈阳)股份有限公司

1

43

北京安天网络安全技术有限公司

1

44

北京国科数安科技有限公司

1

45

北京六方云信息技术有限公司

1

46

北京神州绿盟科技有限公司

1

47

北京知道创宇信息技术股份有限公司

1

48

北京知其安科技有限公司

1

49

道普信息技术有限公司

1

50

敦和安全科技(武汉)有限公司

1

51

福建银数信息技术有限公司

1

52

即现(信阳)网络科技有限公司

1

53

浪潮电子信息产业股份有限公司

1

54

南京赛宁信息技术有限公司

1

55

内蒙古数字安全科技有限公司

1

56

山东新潮信息技术有限公司

1

57

上海嘉韦思信息技术有限公司

1

58

西安安迈信科科技有限公司

1

59

西安交大捷普网络科技有限公司

1

60

新华三技术有限公司

1

61

云盾智慧安全科技有限公司

1

62

浙江大华技术股份有限公司

1

63

浙江国利网安科技有限公司

1

64

中孚安全技术有限公司

1

报送总计

312

收录漏洞通报情况


本周CNNVD收录漏洞通报138份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

安恒愿景(成都)信息科技有限公司

15

2

中孚安全技术有限公司

15

3

广州锦行网络科技有限公司

8

4

奇安信网神信息技术(北京)股份有限公司

8

5

北京国科数安科技有限公司

6

6

杭州迪普科技股份有限公司

5

7

中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)

5

8

博智安全科技股份有限公司

4

9

河南东方云盾信息技术有限公司

4

10

内蒙古博创信息技术有限公司

4

11

清远职业技术学院

4

12

浙江执行力信息安全技术有限公司

4

13

北京安华金和科技有限公司

3

14

北京华云安信息技术有限公司

3

15

北京星联云网科技有限公司

3

16

苏州棱镜七彩信息科技有限公司

3

17

北京安天网络安全技术有限公司

2

18

道普信息技术有限公司

2

19

广东省信息安全测评中心

2

20

华为技术有限公司

2

21

内蒙古御网科技有限责任公司

2

22

深信服科技股份有限公司

2

23

西安交大捷普网络科技有限公司

2

24

新华三技术有限公司

2

25

浙江大华技术股份有限公司

2

26

北京安普诺信息技术有限公司

1

27

北京基调网络股份有限公司

1

28

北京赛博昆仑科技有限公司

1

29

北京山石网科信息技术有限公司

1

30

北京神州绿盟科技有限公司

1

31

北京天地和兴科技有限公司

1

32

北京网御星云信息技术有限公司

1

33

北京五一嘉峪科技有限公司

1

34

北京知道创宇信息技术股份有限公司

1

35

广东网安科技有限公司

1

36

广州纬安科技有限公司

1

37

国网青海省电力公司电力科学研究院

1

38

淮安易云科技有限公司

1

39

内蒙古旌云科技有限公司

1

40

山东新潮信息技术有限公司

1

41

上海嘉韦思信息技术有限公司

1

42

上海谋乐网络科技有限公司

1

43

深圳建安润星安全技术有限公司

1

44

四维创智(北京)科技发展有限公司

1

45

天津市兴先道科技有限公司

1

46

途耀信息技术(上海)有限公司

1

47

亚信科技(成都)有限公司

1

48

云上广济(贵州)信息技术有限公司

1

49

长春嘉诚信息技术股份有限公司

1

50

郑州云智信安安全技术有限公司

1

51

中移系统集成有限公司

1

收录总计

138

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2