正文

信息安全漏洞周报(2024年第13期)

admin
admin V管理员 /0 评论 /100 阅读
0327
此篇文章发布距今已超过241天,您需要注意文章的内容或图片是否可用!

点击蓝字 关注我们

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年3月18日至2024年3月24日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞743个。
接报漏洞情况
本周CNNVD接报漏洞8877个,其中信息技术产品漏洞(通用型漏洞)278个,网络信息系统漏洞(事件型漏洞)47个,漏洞平台推送漏洞8552个。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞743个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有137个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到17.50%。新增漏洞中,超危漏洞38个,高危漏洞154个,中危漏洞543个,低危漏洞8个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞743个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有137个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
137
18.44%
2
Adobe
56
7.54%
3
Campcodes
37
4.98%
4
腾达
35
4.71%
5
Linux基金会
25
3.36%
本周国内厂商漏洞74个,腾达公司漏洞数量最多,有35个。国内厂商漏洞整体修复率为62.16%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到17.50%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
130
17.50%
2
SQL注入
59
7.94%
3
代码问题
16
2.15%
4
跨站请求伪造
11
1.48%
5
信息泄露
8
1.08%
6
缓冲区错误
8
1.08%
7
路径遍历
7
0.94%
8
操作系统命令注入
6
0.81%
9
授权问题
4
0.54%
10
资源管理错误
3
0.40%
11
注入
2
0.27%
12
输入验证错误
1
0.13%
13
访问控制错误
1
0.13%
14
日志信息泄露
1
0.13%
15
数据伪造问题
1
0.13%
16
命令注入
1
0.13%
17
加密问题
1
0.13%
18
信任管理问题
1
0.13%
19
竞争条件问题
1
0.13%
20
环境问题
1
0.13%
21
其他
480
64.60%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞38个,高危漏洞154个,中危漏洞543个,低危漏洞8个。相应修复率分别为84.21%、80.52%、81.03%和100.00%。根据补丁信息统计,合计604个漏洞已有修复补丁发布,整体修复率为81.29%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
38
32
84.21%
2
高危
154
124
80.52%
3
中危
543
440
81.03%
4
低危
8
8
100.00%
合计
743
604
81.29%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号
漏洞类型
漏洞编号
厂商
漏洞实例
是否修复
危害等级
1
代码问题
CNNVD-202403-1843
WordPress基金会
WordPress plugin Tourfic 代码问题漏洞
超危
2
其他
CNNVD-202403-1810
Mozilla基金会
Mozilla Firefox 安全漏洞
高危
3
访问控制错误
CNNVD-202403-1648
Adobe
Adobe ColdFusion 访问控制错误漏洞
高危

1.WordPress plugin Tourfic 代码问题漏洞(CNNVD-202403-1843)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Tourfic 2.11.15版本及之前版本存在代码问题漏洞,该漏洞源于没有限制危险类型文件上传的次数。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wordpress.org/plugins/tourfic/

2.Mozilla Firefox 安全漏洞(CNNVD-202403-1810)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
Mozilla Firefox 124之前版本存在安全漏洞,该漏洞源于内存发生损坏。攻击者利用该漏洞可以执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/

3.Adobe ColdFusion 访问控制错误漏洞(CNNVD-202403-1648)

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。
Adobe ColdFusion 2023.1版本至2023.6版本、2021.1版本至2021.12版本存在访问控制错误漏洞,该漏洞源于访问控制不正确。攻击者利用该漏洞可以读取系统内任意文件。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://helpx.adobe.com/security/products/coldfusion/apsb24-14.html

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞8552个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
漏洞盒子
7268
2
补天平台
1284
推送总计
8552

三、接报漏洞情况

本周CNNVD接报漏洞325个,其中信息技术产品漏洞(通用型漏洞)278个,网络信息系统漏洞(事件型漏洞)47个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
内蒙古数字安全科技有限公司
39
2
华为技术有限公司
29
3
北京天融信网络安全技术有限公司
28
4
个人
24
5
星云博创科技有限公司
20
6
中电长城网际系统应用有限公司
15
7
天翼数智科技(北京)有限公司
11
8
北京启明星辰信息安全技术有限公司
10
9
南京聚铭网络科技有限公司
10
10
北京长亭科技有限公司
8
11
重庆梦之想科技有限责任公司
7
12
福建经联网络技术有限公司
6
13
上海斗象信息科技有限公司
6
14
浙江大华技术股份有限公司
6
15
安徽长泰科技有限公司
5
16
北京奇虎科技有限公司
5
17
北京微步在线科技有限公司
5
18
河南灵创电子科技有限公司
5
19
中国电信股份有限公司网络安全产品运营中心
5
20
成都网域探行科技有限公司
4
21
广州竞远安全技术股份有限公司
4
22
上海云盾信息技术有限公司
4
23
河南天祺信息安全技术有限公司
3
24
浪潮电子信息产业股份有限公司
3
25
远江盛邦(北京)网络安全科技股份有限公司
3
26
中兴通讯股份有限公司
3
27
北京安胜华信科技有限公司
2
28
北京安信天行科技有限公司
2
29
北京网藤科技有限公司
2
30
北京云科安信科技有限公司
2
31
北京中睿天下信息技术有限公司
2
32
成都安美勤信息技术股份有限公司
2
33
河南东方云盾信息技术有限公司
2
34
黑龙江智泽测评科技有限公司
2
35
建信金融科技有限责任公司安全攻防实验室
2
36
南京共美科技有限公司
2
37
任子行网络技术股份有限公司
2
38
上海安几科技有限公司
2
39
深信服科技股份有限公司
2
40
维安(山东)数字技术有限公司
2
41
西安交大捷普网络科技有限公司
2
42
御维网络安全技术有限公司
2
43
CashBenties
1
44
北京华云安信息技术有限公司
1
45
北京升鑫网络科技有限公司
1
46
北京中测安华科技有限公司
1
47
博智安全科技股份有限公司
1
48
超聚变数字技术有限公司
1
49
烽台科技(北京)有限公司
1
50
国网思极检测技术(北京)有限公司
1
51
杭州安恒信息技术股份有限公司
1
52
杭州默安科技有限公司
1
53
江苏保旺达软件技术有限公司
1
54
江苏讯安信息安全技术有限公司
1
55
江西和尔惠信息技术有限公司
1
56
江西神舟信息安全评估中心有限公司
1
57
赛尔网络有限公司
1
58
山东鼎夏智能科技有限公司
1
59
上海三零卫士信息安全有限公司
1
60
上海上讯信息技术股份有限公司
1
61
上海无息科技有限公司
1
62
网宿科技股份有限公司
1
63
西安安迈信科科技有限公司
1
64
长扬科技(北京)股份有限公司
1
65
浙江极安信息科技有限公司
1
66
中电信数智科技有限公司
1
67
中资网络信息安全科技有限公司
1
报送总计
325

四、收录漏洞通报情况

本周CNNVD收录漏洞通报97份。

表7本周漏洞通报情况

序号
报送单位
通报总量
1
中孚安全技术有限公司
23
2
广州市昊恒信息科技有限公司
8
3
南京共美科技有限公司
8
4
北方实验室(沈阳)股份有限公司
6
5
北京中测安华科技有限公司
5
6
西安交大捷普网络科技有限公司
4
7
北京星阑科技有限公司
3
8
深圳市常行科技有限公司
3
9
北京华云安信息技术有限公司
2
10
北京奇虎科技有限公司
2
11
河南东方云盾信息技术有限公司
2
12
华为技术有限公司
2
13
江苏百达智慧网络科技有限公司
2
14
南京禾盾信息科技有限公司
2
15
上海斗象信息科技有限公司
2
16
西安安迈信科科技有限公司
2
17
北京安天网络安全技术有限公司
1
18
北京山石网科信息技术有限公司
1
19
北京神州绿盟科技有限公司
1
20
北京天融信网络安全技术有限公司
1
21
北京五一嘉峪科技有限公司
1
22
超聚变数字技术有限公司
1
23
广州非凡信息安全技术有限公司
1
24
广州纬安科技有限公司
1
25
河南天祺信息安全技术有限公司
1
26
黑龙江智泽测评科技有限公司
1
27
湖南省金盾信息安全等级保护评估中心有限公司
1
28
江苏网擎信息技术有限公司
1
29
巨鹏信息科技有限公司
1
30
内蒙古旌云科技有限公司
1
31
任子行网络技术股份有限公司
1
32
深信服科技股份有限公司
1
33
腾讯云计算(北京)有限责任公司
1
34
新华三技术有限公司
1
35
长春嘉诚信息技术股份有限公司
1
36
郑州舍末信息科技有限公司
1
37
中国电信股份有限公司网络安全产品运营中心
1
收录总计
97


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下