信息安全漏洞周报（2024年第2期）

点击蓝字关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年1月1日至2024年1月7日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞390个。

接报漏洞情况

本周CNNVD接报漏洞83307个，其中信息技术产品漏洞（通用型漏洞）240个，网络信息系统漏洞（事件型漏洞）134个，漏洞平台推送漏洞82933个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞390个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有58个；从漏洞类型来看，SQL注入类的安全漏洞占比最大，达到10.26%。新增漏洞中，超危漏洞30个，高危漏洞61个，中危漏洞289个，低危漏洞10个。

（一）安全漏洞增长数量情况

本周CNNVD采集安全漏洞390个。

图1 近五周漏洞新增数量统计图

（二）安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有58个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	58	14.87%
2	谷歌	28	7.18%
3	Kashipara	26	6.67%
4	高通	26	6.67%
5	联发科	20	5.13%

本周国内厂商漏洞72个，联发科公司漏洞数量最多，有20个。国内厂商漏洞整体修复率为86.11%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, SQL注入类的安全漏洞占比最大，达到10.26%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	SQL注入	40	10.26%
2	跨站脚本	31	7.95%
3	跨站请求伪造	18	4.62%
4	代码问题	12	3.08%
5	数字错误	7	1.79%
6	输入验证错误	6	1.54%
7	信息泄露	6	1.54%
8	操作系统命令注入	5	1.28%
9	资源管理错误	4	1.03%
10	缓冲区错误	4	1.03%
11	代码注入	3	0.77%
12	授权问题	3	0.77%
13	路径遍历	2	0.51%
14	访问控制错误	1	0.26%
15	安全特征问题	1	0.26%
16	命令注入	1	0.26%
17	注入	1	0.26%
18	日志信息泄露	1	0.26%
19	其他	244	62.56%

（三）安全漏洞危害等级与修复情况

本周共发布超危漏洞30个，高危漏洞61个，中危漏洞289个，低危漏洞10个。相应修复率分别为96.67%、91.80%、71.63%和50.00%。根据补丁信息统计，合计297个漏洞已有修复补丁发布，整体修复率为76.15%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	30	29	96.67%
2	高危	61	56	91.80%
3	中危	289	207	71.63%
4	低危	10	5	50.00%
合计		390	297	76.15%

（四）本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	代码注入	CNNVD-202401-149	Apache基金会	Apache InLong 代码注入漏洞	是	超危
2	其他	CNNVD-202401-391	IBM	IBM Db2 安全漏洞	是	高危
3	其他	CNNVD-202401-112	高通	Qualcomm Chipsets 安全漏洞	是	高危

1.Apache InLong 代码注入漏洞（CNNVD-202401-149）

Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。

Apache InLong 1.5.0版本至1.9.0版本存在代码注入漏洞。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://github.com/apache/inlong/pull/9329

2.IBM Db2 安全漏洞（CNNVD-202401-391）

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。

IBM Db2 10.5版本、11.1版本和11.5版本存在安全漏洞。攻击者利用该漏洞可以将其权限升级为 SYSTEM 用户。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7105500

3.Qualcomm Chipsets 安全漏洞（CNNVD-202401-112）

Qualcomm Chipsets是美国高通（Qualcomm）公司的一系列芯片组。

Qualcomm Chipsets存在安全漏洞，该漏洞源于多个服务所需的内存总量大于服务缓冲区的实际大小，从而导致系统拒绝服务。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.qualcomm.com/company/product-security/bulletins/january-2024-bulletin

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞82933个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	补天平台	82126
2	漏洞盒子	484
3	360漏洞云	323
推送总计		82933

三、接报漏洞情况

本周CNNVD接报漏洞374个，其中信息技术产品漏洞（通用型漏洞）240个，网络信息系统漏洞（事件型漏洞）134个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	内蒙古旌云科技有限公司	48
2	北京华云安信息技术有限公司	45
3	个人	36
4	北京云科安信科技有限公司	31
5	河南天祺信息安全技术有限公司	20
6	湖南泛联新安信息科技有限公司	20
7	北京启明星辰信息安全技术有限公司	13
8	华为技术有限公司	11
9	浙江东安检测技术有限公司	11
10	南京聚铭网络科技有限公司	10
11	北京天融信网络安全技术有限公司	9
12	北京中金安服科技有限公司	9
13	山石网科通信技术股份有限公司	9
14	深信服科技股份有限公司	9
15	云上广济（贵州）信息技术有限公司	7
16	广州非凡信息安全技术有限公司	6
17	杭州安恒信息技术股份有限公司	6
18	杭州海康威视数字技术股份有限公司	6
19	重庆梦之想科技有限责任公司	5
20	广州竞远安全技术股份有限公司	4
21	河南灵创电子科技有限公司	4
22	内蒙古御网科技有限责任公司	4
23	天翼数智科技（北京）有限公司	4
24	长春嘉诚信息技术股份有限公司	4
25	博智安全科技股份有限公司	3
26	锐捷网络股份有限公司	3
27	安徽长泰科技有限公司	2
28	北京奇虎科技有限公司	2
29	北京有略安全技术有限公司	2
30	国网思极检测技术（北京）有限公司	2
31	杭州麦卡微科技有限公司	2
32	湖南中科安谷信息技术有限公司	2
33	赛尔网络有限公司	2
34	西安交大捷普网络科技有限公司	2
35	中孚安全技术有限公司	2
36	中兴通讯股份有限公司	2
37	北京墨云科技有限公司	1
38	北京神州绿盟科技有限公司	1
39	北京天下信安技术有限公司	1
40	北京五一嘉峪科技有限公司	1
41	北京智游网安科技有限公司	1
42	北京中睿天下信息技术有限公司	1
43	成都卫士通信息安全技术有限公司	1
44	南京国云电力有限公司	1
45	奇安信网神信息技术（北京）股份有限公司	1
46	清远职业技术学院	1
47	苏州棱镜七彩信息科技有限公司	1
48	网宿科技股份有限公司	1
49	西安四叶草信息技术有限公司	1
50	云南联创网安科技有限公司	1
51	浙江鑫诺检测技术有限公司	1
52	中电智安科技有限公司	1
53	中国广电天津网络有限公司	1
报送总计		374

四、收录漏洞通报情况

本周CNNVD收录漏洞通报34份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	中孚安全技术有限公司	5
2	南京禾盾信息科技有限公司	4
3	北京威努特技术有限公司	3
4	博智安全科技股份有限公司	3
5	江苏通付盾科技有限公司	3
6	锐捷网络股份有限公司	3
7	新华三技术有限公司	2
8	北京安华金和科技有限公司	1
9	北京山石网科信息技术有限公司	1
10	北京时代新威信息技术有限公司	1
11	河南省鼎信信息安全等级测评有限公司	1
12	湖北肆安科技有限公司	1
13	湖南泛联新安信息科技有限公司	1
14	江苏百达智慧网络科技有限公司	1
15	西安四叶草信息技术有限公司	1
16	云南南天电子信息产业股份有限公司	1
17	浙江齐安信息科技有限公司	1
18	证通股份有限公司	1
收录总计		34