信息安全漏洞周报（2024年第30期 ）

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年7月15日至2024年7月21日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞691个。

接报漏洞情况

本周CNNVD接报漏洞49119个，其中信息技术产品漏洞（通用型漏洞）287个，网络信息系统漏洞（事件型漏洞）43个，漏洞平台推送漏洞48789个。

一

公开漏洞情况

---

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞691个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有177个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到16.93%。新增漏洞中，超危漏洞26个，高危漏洞79个，中危漏洞572个，低危漏洞14个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞691个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有177个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

177

25.62%

2

Linux基金会

103

14.91%

3

Oracle

63

9.12%

4

谷歌

26

3.76%

5

Apache基金会

20

2.89%

本周国内厂商漏洞48个，腾达公司漏洞数量最多，有13个。国内厂商漏洞整体修复率为51.02%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到16.93%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

117

16.93%

2

SQL注入

25

3.62%

3

代码问题

17

2.46%

4

代码注入

9

1.30%

5

路径遍历

9

1.30%

6

授权问题

4

0.58%

7

信息泄露

2

0.29%

8

命令注入

2

0.29%

9

访问控制错误

2

0.29%

10

输入验证错误

1

0.14%

11

操作系统命令注入

1

0.14%

12

其他

502

72.65%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞26个，高危漏洞79个，中危漏洞572个，低危漏洞14个。相应修复率分别为76.92%、93.67%、76.40%和100.00%。根据补丁信息统计，合计545个漏洞已有修复补丁发布，整体修复率为78.87%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

26

20

76.92%

2

高危

79

74

93.67%

3

中危

572

437

76.40%

4

低危

14

14

100.00%

合计

691

545

78.87%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202407-2032

超危

2

CNNVD-202407-1841

高危

3

CNNVD-202407-1860

高危

1.WordPress plugin WooCommerce - Social Login 安全漏洞（CNNVD-202407-2032）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WooCommerce - Social Login 2.7.3版本及之前版本存在安全漏洞，该漏洞源于缺少对“woo_slg_login_email”函数的功能检查。攻击者利用该漏洞可以在注册帐户时将默认角色更改为管理员。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/id/77ea4ba8-6c13-494a-92e3-12643003635b?source=cve

2.Apache StreamPipes 代码问题漏洞（CNNVD-202407-1841）

Apache StreamPipes是美国阿帕奇（Apache）基金会的一个自助式（工业）物联网工具箱，使非技术用户能够连接、分析和探索IIoT数据流。

Apache StreamPipes 0.93.0版本及之前版本存在代码问题漏洞，该漏洞源于没有限制危险类型文件上传的次数。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lists.apache.org/thread/b0657okbwzg5xxs11hphvc9qrd9s70mt

3.Cisco AsyncOS 安全漏洞（CNNVD-202407-1860）

Cisco AsyncOS是美国思科（Cisco）公司的一款应用于思科设备的操作系统。

Cisco AsyncOS存在安全漏洞，该漏洞源于对用户提供的CLI输入验证不足。攻击者利用该漏洞可以执行任意命令并将权限提升到root。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-swa-priv-esc-7uHpZsCC

二

漏洞平台推送情况

---

本周CNNVD接收漏洞平台推送漏洞48789个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

补天平台

39064

2

漏洞盒子

9676

3

360漏洞云

49

推送总计

48789

三

接报漏洞情况

---

本周CNNVD接报漏洞330个，其中信息技术产品漏洞（通用型漏洞）287个，网络信息系统漏洞（事件型漏洞）43个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

北京安天网络安全技术有限公司

71

2

个人

44

3

广州网为信息技术有限公司

21

4

北京墨云科技有限公司

16

5

北京天融信网络安全技术有限公司

16

6

成都安美勤信息技术股份有限公司

14

7

杭州中电安科现代科技有限公司

12

8

三六零数字安全科技集团有限公司

9

9

杭州安恒信息技术股份有限公司

8

10

清远职业技术学院

8

11

北京长亭科技有限公司

7

12

安徽三实软件科技有限公司

4

13

北京安信天行科技有限公司

4

14

北京小佑网络科技有限公司

4

15

北京知其安科技有限公司

4

16

广东网安科技有限公司

4

17

广州竞远安全技术股份有限公司

4

18

广州纬安科技有限公司

4

19

河南灵创电子科技有限公司

4

20

华为技术有限公司

4

21

江苏嘉恩网络安全科技有限公司

4

22

途耀信息技术（上海）有限公司

4

23

北京华云安信息技术有限公司

3

24

北京升鑫网络科技有限公司

3

25

河南东方云盾信息技术有限公司

3

26

零日信安（武汉市）技术有限责任公司

3

27

天津市兴先道科技有限公司

3

28

亚信科技（成都）有限公司

3

29

安恒愿景（成都）信息科技有限公司

2

30

北京比瓴科技有限公司

2

31

北京国科数安科技有限公司

2

32

北京威努特技术有限公司

2

33

江苏百达智慧网络科技有限公司

2

34

马鞍山书拓安全科技有限公司

2

35

南京聚铭网络科技有限公司

2

36

南京赛宁信息技术有限公司

2

37

任子行网络技术股份有限公司

2

38

赛尔网络有限公司

2

39

苏州市莫张信息科技有限责任公司

2

40

中金金融认证中心有限公司

2

41

北京启明星辰信息安全技术有限公司

1

42

北京神州绿盟科技有限公司

1

43

北京时代新威信息技术有限公司

1

44

北京知道创宇信息技术股份有限公司

1

45

北京智游网安科技有限公司

1

46

杭州海康威视数字技术股份有限公司

1

47

河北华测信息技术有限公司

1

48

江苏嘉玖信息科技有限公司

1

49

内蒙古博创信息技术有限公司

1

50

上海戟安科技有限公司

1

51

上海谋乐网络科技有限公司

1

52

上海只柏特信息技术有限公司

1

53

西安秦易信息技术有限公司

1

54

永信至诚科技集团股份有限公司

1

55

浙江大华技术股份有限公司

1

56

浙江鑫诺检测技术有限公司

1

57

中孚安全技术有限公司

1

58

重庆嘉天琪科技有限公司

1

报送总计

330

四

收录漏洞通报情况

---

本周CNNVD收录漏洞通报101份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

安恒愿景（成都）信息科技有限公司

12

2

中孚安全技术有限公司

9

3

杭州迪普科技股份有限公司

8

4

零日信安（武汉市）技术有限责任公司

6

5

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

5

6

湖北肆安科技有限公司

4

7

上海斗象信息科技有限公司

4

8

道普信息技术有限公司

3

9

广东网安科技有限公司

3

10

奇安信网神信息技术（北京）股份有限公司

3

11

上海嘉韦思信息技术有限公司

3

12

浙江鑫诺检测技术有限公司

3

13

北京国科数安科技有限公司

2

14

北京基调网络股份有限公司

2

15

北京神州绿盟科技有限公司

2

16

江苏嘉恩网络安全科技有限公司

2

17

马鞍山书拓安全科技有限公司

2

18

苏州棱镜七彩信息科技有限公司

2

19

西安四叶草信息技术有限公司

2

20

北京安信天行科技有限公司

1

21

北京启明星辰信息安全技术有限公司

1

22

北京时代新威信息技术有限公司

1

23

北京天地和兴科技有限公司

1

24

北京天融信网络安全技术有限公司

1

25

北京五一嘉峪科技有限公司

1

26

博智安全科技股份有限公司

1

27

成都安美勤信息技术股份有限公司

1

28

广东省信息安全测评中心

1

29

广州纬安科技有限公司

1

30

国网青海省电力公司电力科学研究院

1

31

河南东方云盾信息技术有限公司

1

32

华为技术有限公司

1

33

淮安易云科技有限公司

1

34

浪潮电子信息产业股份有限公司

1

35

内蒙古博创信息技术有限公司

1

36

清远职业技术学院

1

37

上海矢安科技有限公司

1

38

深圳建安润星安全技术有限公司

1

39

深圳市深信服信息安全有限公司

1

40

西安交大捷普网络科技有限公司

1

41

永信至诚科技集团股份有限公司

1

42

云上广济（贵州）信息技术有限公司

1

43

中移系统集成有限公司

1

收录总计

101