信息安全漏洞周报（2024年第31期 ）

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年7月22日至2024年7月28日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞448个。

接报漏洞情况

本周CNNVD接报漏洞15625个，其中信息技术产品漏洞（通用型漏洞）261个，网络信息系统漏洞（事件型漏洞）23个，漏洞平台推送漏洞15341个。

一

公开漏洞情况

---

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞448个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有116个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到11.16%。新增漏洞中，超危漏洞12个，高危漏洞62个，中危漏洞364个，低危漏洞10个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞448个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有116个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

116

25.89%

2

吉翁电子

19

4.24%

3

谷歌

16

3.57%

4

腾达

14

3.13%

5

NI

13

2.90%

本周国内厂商漏洞52个，吉翁电子公司漏洞数量最多，有19个。国内厂商漏洞整体修复率为53.85%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到11.16%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

50

11.16%

2

SQL注入

23

5.13%

3

代码问题

10

2.23%

4

输入验证错误

6

1.34%

5

访问控制错误

4

0.89%

6

跨站请求伪造

4

0.89%

7

信息泄露

3

0.67%

8

缓冲区错误

2

0.45%

9

命令注入

2

0.45%

10

操作系统命令注入

2

0.45%

11

注入

1

0.22%

12

信任管理问题

1

0.22%

13

日志信息泄露

1

0.22%

14

其他

339

75.67%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞12个，高危漏洞62个，中危漏洞364个，低危漏洞10个。相应修复率分别为100.00%、96.77%、76.10%和80.00%。根据补丁信息统计，合计357个漏洞已有修复补丁发布，整体修复率为79.69%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

12

12

100.00%

2

高危

62

60

96.77%

3

中危

364

277

76.10%

4

低危

10

8

80.00%

合计

448

357

79.69%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞编号

危害等级

1

CNNVD-202407-2347

超危

2

CNNVD-202407-2424

高危

3

CNNVD-202407-2294

高危

1.Microsoft GroupMe 访问控制错误漏洞（CNNVD-202407-2347）

Microsoft GroupMe是美国微软（Microsoft）公司的一项保密的群短信服务，用户可以通过手机短信或客户端进行短信群聊及管理。

Microsoft GroupMe存在访问控制错误漏洞，该漏洞源于访问控制不当。攻击者利用该漏洞可以提升网络权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38164

2.Linux kernel 安全漏洞（CNNVD-202407-2424）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel存在安全漏洞，该漏洞源于对用户的输入验证不正确。攻击者利用该漏洞可以导致程序拒绝服务。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://lore.kernel.org/lkml/20240724170452.16837-1-dongli.zhang@oracle.com/T/

3.WordPress plugin MaxiBlocks 安全漏洞（CNNVD-202407-2294）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin MaxiBlocks 1.9.2版本及之前版本存在安全漏洞，该漏洞源于maxi_remove_custom_image_size和maxi_add_custom_image_size函数中的文件路径验证不足。攻击者利用该漏洞可以删除服务器上的任意文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/maxi-blocks/

二

漏洞平台推送情况

---

本周CNNVD接收漏洞平台推送漏洞15341个。

表5 本周漏洞平台推送情况

序号

漏洞平台

漏洞总量

1

补天平台

10941

2

漏洞盒子

3690

3

360漏洞云

710

推送总计

15341

三

接报漏洞情况

---

本周CNNVD接报漏洞284个，其中信息技术产品漏洞（通用型漏洞）261个，网络信息系统漏洞（事件型漏洞）23个。

表6 本周漏洞报送情况

序号

报送单位

漏洞总量

1

个人

25

2

北京长亭科技有限公司

22

3

浙江极安信息科技有限公司

20

4

北京天融信网络安全技术有限公司

13

5

杭州安恒信息技术股份有限公司

12

6

零日信安（武汉市）技术有限责任公司

11

7

亚信科技（成都）有限公司

10

8

北京安天网络安全技术有限公司

9

9

途耀信息技术（上海）有限公司

9

10

成都安美勤信息技术股份有限公司

7

11

清远职业技术学院

7

12

北京小佑网络科技有限公司

6

13

北京有略安全技术有限公司

6

14

河南东方云盾信息技术有限公司

6

15

山西轩辕信息安全技术有限公司

6

16

深信服科技股份有限公司

5

17

苏州市莫张信息科技有限责任公司

5

18

北京华云安信息技术有限公司

4

19

广州竞远安全技术股份有限公司

4

20

广州网为信息技术有限公司

4

21

河南灵创电子科技有限公司

4

22

厦门聚丁科技有限公司

4

23

上海安般信息科技有限公司

4

24

西安交大捷普网络科技有限公司

4

25

浙江鑫诺检测技术有限公司

4

26

北京安胜华信科技有限公司

3

27

江苏嘉恩网络安全科技有限公司

3

28

龙岩市鲸之云盾互联网服务有限公司

3

29

马鞍山书拓安全科技有限公司

3

30

南京赛宁信息技术有限公司

3

31

三六零数字安全科技集团有限公司

3

32

山石网科通信技术股份有限公司

3

33

安徽三实软件科技有限公司

2

34

北京国科数安科技有限公司

2

35

北京灰度科技有限公司

2

36

北京神州绿盟科技有限公司

2

37

北京威努特技术有限公司

2

38

北京知道创宇信息技术股份有限公司

2

39

北京知其安科技有限公司

2

40

广州纬安科技有限公司

2

41

杭州中尔网络科技有限公司

2

42

赛尔网络有限公司

2

43

山西赛盾网络安全测评技术有限公司

2

44

长扬科技（北京）股份有限公司

2

45

浙江大华技术股份有限公司

2

46

安恒愿景（成都）信息科技有限公司

1

47

北京赛博昆仑科技有限公司

1

48

北京升鑫网络科技有限公司

1

49

成都卫士通信息安全技术有限公司

1

50

道普信息技术有限公司

1

51

甘肃丝路信安数字科技有限公司

1

52

广州市昊恒信息科技有限公司

1

53

杭州海康威视数字技术股份有限公司

1

54

杭州孝道科技有限公司

1

55

湖南省金盾信息安全等级保护评估中心有限公司

1

56

湖南中测网安信息技术有限公司

1

57

华为技术有限公司

1

58

江苏百达智慧网络科技有限公司

1

59

江苏讯安信息安全技术有限公司

1

60

江西中和证信息安全技术有限公司

1

61

内蒙古中叶信息技术有限责任公司

1

62

宁夏凯信特信息科技有限公司

1

63

上海只柏特信息技术有限公司

1

64

苏州棱镜七彩信息科技有限公司

1

65

西安秦易信息技术有限公司

1

66

永信至诚科技集团股份有限公司

1

67

远江盛邦(北京)网络安全科技股份有限公司

1

68

浙江国利网安科技有限公司

1

69

郑州埃文科技有限公司

1

70

中孚安全技术有限公司

1

71

中移系统集成有限公司

1

报送总计

284

四

收录漏洞通报情况

---

本周CNNVD收录漏洞通报76份。

表7本周漏洞通报情况

序号

报送单位

通报总量

1

安恒愿景（成都）信息科技有限公司

12

2

中孚安全技术有限公司

10

3

西安四叶草信息技术有限公司

5

4

中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）

5

5

河南东方云盾信息技术有限公司

4

6

浙江大华技术股份有限公司

4

7

广州网为信息技术有限公司

3

8

杭州迪普科技股份有限公司

3

9

零日信安（武汉市）技术有限责任公司

3

10

亚信科技（成都）有限公司

3

11

广州纬安科技有限公司

2

12

杭州中尔网络科技有限公司

2

13

上海斗象信息科技有限公司

2

14

西安交大捷普网络科技有限公司

2

15

北京赛博昆仑科技有限公司

1

16

北京神州绿盟科技有限公司

1

17

北京天地和兴科技有限公司

1

18

北京长亭科技有限公司

1

19

北京知道创宇信息技术股份有限公司

1

20

广东省信息安全测评中心

1

21

国网青海省电力公司电力科学研究院

1

22

河南灵创电子科技有限公司

1

23

江苏灵盾信息安全科技有限公司

1

24

江西中和证信息安全技术有限公司

1

25

三六零数字安全科技集团有限公司

1

26

山东云天安全技术有限公司

1

27

四维创智（北京）科技发展有限公司

1

28

苏州棱镜七彩信息科技有限公司

1

29

途耀信息技术（上海）有限公司

1

30

浙江鑫诺检测技术有限公司

1

收录总计

76