点击蓝字 关注我们
根据国家信息安全漏洞库(CNNVD)统计,本周(2024年1月22日至2024年1月28日)安全漏洞情况如下:
本周CNNVD采集安全漏洞487个。
本周CNNVD接报漏洞11921个,其中信息技术产品漏洞(通用型漏洞)270个,网络信息系统漏洞(事件型漏洞)77个,漏洞平台推送漏洞11574个。
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞487个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有38个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.73%。新增漏洞中,超危漏洞30个,高危漏洞71个,中危漏洞374个,低危漏洞12个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞487个。
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有38个。各厂商漏洞数量分布如表1所示。
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | WordPress基金会 | 38 | 7.80% |
2 | 趋势科技 | 33 | 6.78% |
3 | 苹果 | 25 | 5.13% |
4 | LINE | 23 | 4.72% |
5 | Mozilla基金会 | 17 | 3.49% |
本周国内厂商漏洞39个,腾达公司漏洞数量最多,有11个。国内厂商漏洞整体修复率为23.08%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到12.73%。漏洞类型统计如表2所示。
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 跨站脚本 | 62 | 12.73% |
2 | 代码问题 | 20 | 4.11% |
3 | SQL注入 | 10 | 2.05% |
4 | 信息泄露 | 5 | 1.03% |
5 | 操作系统命令注入 | 5 | 1.03% |
6 | 输入验证错误 | 4 | 0.82% |
7 | 路径遍历 | 3 | 0.62% |
8 | 命令注入 | 3 | 0.62% |
9 | 授权问题 | 3 | 0.62% |
10 | 注入 | 2 | 0.41% |
11 | 缓冲区错误 | 1 | 0.21% |
12 | 跨站请求伪造 | 1 | 0.21% |
13 | 资源管理错误 | 1 | 0.21% |
14 | 其他 | 367 | 75.36% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞30个,高危漏洞71个,中危漏洞374个,低危漏洞12个。相应修复率分别为73.33%、94.37%、56.42%和100.00%。根据补丁信息统计,合计312个漏洞已有修复补丁发布,整体修复率为64.07%。详细情况如表3所示。
危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 | |
1 | 超危 | 30 | 22 | 73.33% |
2 | 高危 | 71 | 67 | 94.37% |
3 | 中危 | 374 | 211 | 56.42% |
4 | 低危 | 12 | 12 | 100.00% |
合计 | 487 | 312 | 64.07% | |
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
序号 | 漏洞类型 | 漏洞编号 | 厂商 | 漏洞实例 | 是否修复 | 危害等级 |
1 | 其他 | CNNVD-202401-2225 | 思科 | Cisco Unified Communications Products 安全漏洞 | 是 | 超危 |
2 | 其他 | CNNVD-202401-2188 | Apache基金会 | Apache Airflow 安全漏洞 | 是 | 高危 |
3 | 其他 | CNNVD-202401-1979 | WordPress基金会 | WordPress plugin WP All Import 安全漏洞 | 是 | 高危 |
Cisco Unified Communications Products是美国思科(Cisco)公司的一系列统一通信产品。
Cisco Unified Communications Products存在安全漏洞,该漏洞源于对用户提供的数据处理不当。远程攻击者利用该漏洞可以在受影响的设备上执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-rce-bWNzQcUm
Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。
Apache Airflow 2.3.0版本至2.6.0之前版本存在安全漏洞,攻击者利用该漏洞可以获取配置文件并访问Kubernetes集群。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/89x3q6lz5pykrkr1fkr04k4rfn9pvnv9
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin WP All Import 3.7.3之前版本存在安全漏洞,该漏洞源于没有对文件类型进行充分验证。攻击者利用该漏洞可以将zip文件提取到可公开访问的目录中。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/7f947305-7a72-4c59-9ae8-193f437fd04e/
本周CNNVD接收漏洞平台推送漏洞11574个。
漏洞平台 | 漏洞总量 | |
1 | 漏洞盒子 | 9459 |
2 | 补天平台 | 1337 |
3 | 360漏洞云 | 778 |
推送总计 | 11574 | |
本周CNNVD接报漏洞347个,其中信息技术产品漏洞(通用型漏洞)270个,网络信息系统漏洞(事件型漏洞)77个。
序号 | 报送单位 | 漏洞总量 |
1 | 个人 | 101 |
2 | 北京华云安信息技术有限公司 | 29 |
3 | 北京启明星辰信息安全技术有限公司 | 22 |
4 | 杭州海康威视数字技术股份有限公司 | 21 |
5 | 北京天融信网络安全技术有限公司 | 18 |
6 | 湖南泛联新安信息科技有限公司 | 13 |
7 | 北京长亭科技有限公司 | 12 |
8 | 信元网络技术股份有限公司 | 11 |
9 | 北京边界无限科技有限公司 | 8 |
10 | 北京容辉智信科技有限公司 | 7 |
11 | 北京铜牛奇安科技有限公司 | 7 |
12 | 北方实验室(沈阳)股份有限公司 | 6 |
13 | 北京国舜科技股份有限公司 | 5 |
14 | 北京有略安全技术有限公司 | 5 |
15 | 北京知道创宇信息技术股份有限公司 | 5 |
16 | 山石网科通信技术股份有限公司 | 5 |
17 | 中国电信股份有限公司网络安全产品运营中心 | 5 |
18 | 广州竞远安全技术股份有限公司 | 4 |
19 | 北京奇虎科技有限公司 | 3 |
20 | 河南灵创电子科技有限公司 | 3 |
21 | 上海无息科技有限公司 | 3 |
22 | 西安四叶草信息技术有限公司 | 3 |
23 | 中电智安科技有限公司 | 3 |
24 | 安徽长泰科技有限公司 | 2 |
25 | 北京天下信安技术有限公司 | 2 |
26 | 北京云科安信科技有限公司 | 2 |
27 | 成都创信华通信息技术有限公司 | 2 |
28 | 国网思极检测技术(北京)有限公司 | 2 |
29 | 杭州美创科技股份有限公司 | 2 |
30 | 巨鹏信息科技有限公司 | 2 |
31 | 赛尔网络有限公司 | 2 |
32 | 山西轩辕信息安全技术有限公司 | 2 |
33 | 上海云盾信息技术有限公司 | 2 |
34 | 深圳市深信服信息安全有限公司 | 2 |
35 | 西安交大捷普网络科技有限公司 | 2 |
36 | 新华三技术有限公司 | 2 |
37 | 重庆梦之想科技有限责任公司 | 2 |
38 | 安全邦(北京)信息技术有限公司 | 1 |
39 | 北京中金安服科技有限公司 | 1 |
40 | 超聚变数字技术有限公司 | 1 |
41 | 成都安美勤信息技术股份有限公司 | 1 |
42 | 福建银数信息技术有限公司 | 1 |
43 | 贵州数创控股(集团)有限公司 | 1 |
44 | 湖南省金盾信息安全等级保护评估中心有限公司 | 1 |
45 | 京东科技信息技术有限公司 | 1 |
46 | 南京禾盾信息科技有限公司 | 1 |
47 | 内蒙古奥创科技有限公司 | 1 |
48 | 内蒙古博创信息技术有限公司 | 1 |
49 | 奇安信网神信息技术(北京)股份有限公司 | 1 |
50 | 锐捷网络股份有限公司 | 1 |
51 | 西安秦易信息技术有限公司 | 1 |
52 | 云南南天电子信息产业股份有限公司 | 1 |
53 | 云上广济(贵州)信息技术有限公司 | 1 |
54 | 长春嘉诚信息技术股份有限公司 | 1 |
55 | 浙江东安检测技术有限公司 | 1 |
56 | 中孚安全技术有限公司 | 1 |
57 | 中兴通讯股份有限公司 | 1 |
报送总计 | 347 | |
本周CNNVD收录漏洞通报97份。
序号 | 报送单位 | 通报总量 |
1 | 中孚安全技术有限公司 | 16 |
2 | 南京禾盾信息科技有限公司 | 14 |
3 | 江苏百达智慧网络科技有限公司 | 4 |
4 | 浙江齐安信息科技有限公司 | 4 |
5 | 北京边界无限科技有限公司 | 3 |
6 | 北京奇虎科技有限公司 | 3 |
7 | 北京雪诺科技有限公司 | 3 |
8 | 博智安全科技股份有限公司 | 3 |
9 | 河南灵创电子科技有限公司 | 3 |
10 | 华为技术有限公司 | 3 |
11 | 奇安信网神信息技术(北京)股份有限公司 | 3 |
12 | 锐捷网络股份有限公司 | 3 |
13 | 新华三技术有限公司 | 3 |
14 | 浙江木链物联网科技有限公司 | 3 |
15 | 北京安普诺信息技术有限公司 | 2 |
16 | 北京安信天行科技有限公司 | 2 |
17 | 北京山石网科信息技术有限公司 | 2 |
18 | 北京天融信网络安全技术有限公司 | 2 |
19 | 广州纬安科技有限公司 | 2 |
20 | 西安交大捷普网络科技有限公司 | 2 |
21 | 北方实验室(沈阳)股份有限公司 | 1 |
22 | 北京安天网络安全技术有限公司 | 1 |
23 | 北京华云安信息技术有限公司 | 1 |
24 | 北京赛博昆仑科技有限公司 | 1 |
25 | 北京神州绿盟科技有限公司 | 1 |
26 | 北京威努特技术有限公司 | 1 |
27 | 北京云科安信科技有限公司 | 1 |
28 | 北京知道创宇信息技术股份有限公司 | 1 |
29 | 成都卫士通信息安全技术有限公司 | 1 |
30 | 杭州安恒信息技术股份有限公司 | 1 |
31 | 杭州迪普科技股份有限公司 | 1 |
32 | 杭州麦卡微科技有限公司 | 1 |
33 | 厦门聚丁科技有限公司 | 1 |
34 | 深信服科技股份有限公司 | 1 |
35 | 深圳海云安网络安全技术有限公司 | 1 |
36 | 腾讯云计算(北京)有限责任公司 | 1 |
37 | 网宿科技股份有限公司 | 1 |
收录总计 | 97 | |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...