正文

信息安全漏洞周报(2024年第4期)

admin
admin V管理员 /0 评论 /110 阅读
0125
此篇文章发布距今已超过303天,您需要注意文章的内容或图片是否可用!

点击蓝字 关注我们

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年1月15日至2024年1月21日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞590个。

接报漏洞情况

本周CNNVD接报漏洞6837个,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)67个,漏洞平台推送漏洞6585个。

重大漏洞通报

GitLab安全漏洞(CNNVD-202401-1171、CVE-2023-7028):攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞590个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有101个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到7.80%。新增漏洞中,超危漏洞30个,高危漏洞126个,中危漏洞408个,低危漏洞26个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞590个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有101个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
101
17.12%
2
Oracle
86
14.58%
3
Hathway
25
4.24%
4
吉翁电子
13
2.20%
5
腾达
12
2.03%
本周国内厂商漏洞88个,吉翁电子公司漏洞数量最多,有13个。国内厂商漏洞整体修复率为69.32%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到7.80%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
46
7.80%
2
SQL注入
15
2.54%
3
代码问题
14
2.37%
4
缓冲区错误
6
1.02%
5
输入验证错误
6
1.02%
6
信息泄露
6
1.02%
7
访问控制错误
5
0.85%
8
跨站请求伪造
5
0.85%
9
路径遍历
2
0.34%
10
代码注入
2
0.34%
11
加密问题
2
0.34%
12
资源管理错误
1
0.17%
13
命令注入
1
0.17%
14
注入
1
0.17%
15
后置链接
1
0.17%
16
信任管理问题
1
0.17%
17
权限许可和访问控制问题
1
0.17%
18
其他
475
80.51%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞30个,高危漏洞126个,中危漏洞408个,低危漏洞26个。相应修复率分别为90.00%、85.71%、72.06%和69.23%。根据补丁信息统计,合计447个漏洞已有修复补丁发布,整体修复率为75.76%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
30
27
90.00%
2
高危
126
108
85.71%
3
中危
408
294
72.06%
4
低危
26
18
69.23%
合计
590
447
75.76%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号
漏洞类型
漏洞编号
厂商
漏洞实例
是否修复
危害等级
1
其他
CNNVD-202401-1443
WordPress基金会
WordPress plugin IURNY by INDIGITALL 安全漏洞
超危
2
权限许可和访问控制问题
CNNVD-202401-1833
IBM
IBM OpenPages with Watson 权限许可和访问控制问题漏洞
高危
3
其他
CNNVD-202401-1567
Oracle
Oracle Enterprise Manager Base Platform 其他漏洞
高危

1.WordPress plugin IURNY by INDIGITALL 安全漏洞(CNNVD-202401-1443)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin IURNY by INDIGITALL 3.2.3之前版本存在安全漏洞,该漏洞源于不会清理和转义其某些设置。攻击者利用该漏洞可执行存储型跨站脚本攻击。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/6df05333-b1f1-4324-a1ba-dd36fbf1778c/

2.IBM OpenPages with Watson 权限许可和访问控制问题漏洞(CNNVD-202401-1833)

IBM OpenPages with Watson是一个AI驱动的金融风险分析解决方案。该平台基于AI技术来预测风险系数,将风险数据通过集成、自动识别、测量、监控、分析、管理等步骤将金融活动中的风险最小化。
IBM OpenPages with Watson 8.3版本和9.0版本存在权限许可和访问控制问题漏洞,该漏洞源于授权检查不足。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7107774

3.Oracle Enterprise Manager Base Platform 其他漏洞(CNNVD-202401-1567)

Oracle Enterprise Manager Base Platform是美国甲骨文(Oracle)公司的一套本地管理平台。该平台主要用于管理Oracle产品部署。
Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 13.5.0.0版本存在安全漏洞。攻击者利用该漏洞可以对数据进行未经授权的创建、删除或修改操作,以及获得对所有数据的完全访问权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.oracle.com/security-alerts/cpujan2024.html

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞6585个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
补天平台
4580
2
360漏洞云
1110
3
漏洞盒子
895
推送总计
6585

三、接报漏洞情况

本周CNNVD接报漏洞252个,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)67个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
杭州海康威视数字技术股份有限公司
38
2
北京启明星辰信息安全技术有限公司
27
3
北京天融信网络安全技术有限公司
23
4
中国电信股份有限公司网络安全产品运营中心
20
5
北京华云安信息技术有限公司
16
6
北京云科安信科技有限公司
13
7
个人
10
8
北京安普诺信息技术有限公司
6
9
广州竞远安全技术股份有限公司
6
10
国网思极检测技术(北京)有限公司
6
11
北京容辉智信科技有限公司
4
12
博智安全科技股份有限公司
4
13
杭州美创科技股份有限公司
4
14
河南灵创电子科技有限公司
4
15
华为技术有限公司
4
16
天地伟业技术有限公司
4
17
云南南天电子信息产业股份有限公司
4
18
北京奇虎科技有限公司
3
19
北京天下信安技术有限公司
3
20
奇安信网神信息技术(北京)股份有限公司
3
21
锐捷网络股份有限公司
3
22
中兴通讯股份有限公司
3
23
安全邦(北京)信息技术有限公司
2
24
北京安信天行科技有限公司
2
25
北京梆梆安全科技有限公司
2
26
北京网御星云信息技术有限公司
2
27
杭州安恒信息技术股份有限公司
2
28
华堡天建(天津)信息技术有限公司
2
29
浪潮电子信息产业股份有限公司
2
30
南京禾盾信息科技有限公司
2
31
赛尔网络有限公司
2
32
山石网科通信技术股份有限公司
2
33
上海云盾信息技术有限公司
2
34
新华三技术有限公司
2
35
安徽长泰科技有限公司
1
36
北京安天网络安全技术有限公司
1
37
北京边界无限科技有限公司
1
38
北京锐服信科技有限公司
1
39
北京中金安服科技有限公司
1
40
烽台科技(北京)有限公司
1
41
福建银数信息技术有限公司
1
42
工业和信息化部电子第五研究所
1
43
贵州数创控股(集团)有限公司
1
44
河南省鼎信信息安全等级测评有限公司
1
45
湖南省金盾信息安全等级保护评估中心有限公司
1
46
内蒙古奥创科技有限公司
1
47
任子行网络技术股份有限公司
1
48
深圳市深信服信息安全有限公司
1
49
苏州棱镜七彩信息科技有限公司
1
50
西安四叶草信息技术有限公司
1
51
亚信科技(成都)有限公司
1
52
浙江东安检测技术有限公司
1
53
中电信数智科技有限公司
1
54
中国国际工程咨询有限公司
1
报送总计
252

四、收录漏洞通报情况

本周CNNVD收录漏洞通报118份。

表7本周漏洞通报情况

序号
报送单位
通报总量
1
中孚安全技术有限公司
16
2
南京禾盾信息科技有限公司
7
3
北方实验室(沈阳)股份有限公司
6
4
博智安全科技股份有限公司
6
5
新华三技术有限公司
6
6
证通股份有限公司
5
7
北京边界无限科技有限公司
4
8
北京网御星云信息技术有限公司
4
9
华为技术有限公司
4
10
江苏百达智慧网络科技有限公司
4
11
奇安信网神信息技术(北京)股份有限公司
4
12
清远职业技术学院
4
13
锐捷网络股份有限公司
4
14
北京雪诺科技有限公司
3
15
杭州迪普科技股份有限公司
3
16
深信服科技股份有限公司
3
17
网宿科技股份有限公司
3
18
云南南天电子信息产业股份有限公司
3
19
北京安博通科技股份有限公司
2
20
北京安天网络安全技术有限公司
2
21
北京安信天行科技有限公司
2
22
北京威努特技术有限公司
2
23
北京知道创宇信息技术股份有限公司
2
24
北京中金安服科技有限公司
2
25
杭州安恒信息技术股份有限公司
2
26
深圳融安网络科技有限公司
2
27
北京华云安信息技术有限公司
1
28
北京奇虎科技有限公司
1
29
北京启明星辰信息安全技术有限公司
1
30
北京山石网科信息技术有限公司
1
31
北京天融信网络安全技术有限公司
1
32
成都安美勤信息技术股份有限公司
1
33
成都卫士通信息安全技术有限公司
1
34
广州竞远安全技术股份有限公司
1
35
杭州麦卡微科技有限公司
1
36
江苏讯安信息安全技术有限公司
1
37
上海矢安科技有限公司
1
38
浙江大华技术股份有限公司
1
39
重庆梦之想科技有限责任公司
1
收录总计
118

五、重大漏洞通报

CNNVD关于GitLab安全漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202401-1171、CVE-2023-7028)情况的报送。攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

1.漏洞介绍

GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。该漏洞源于过滤不严格导致,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。

2.危害影响

成功利用漏洞的攻击者可重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。

3.修复建议

目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下