正文

信息安全漏洞周报(2024年第16期)

admin
admin V管理员 /0 评论 /113 阅读
0419
此篇文章发布距今已超过278天,您需要注意文章的内容或图片是否可用!

点击蓝字 关注我们

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年4月8日至2024年4月14日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1081个。

接报漏洞情况

本周CNNVD接报漏洞9806个,其中信息技术产品漏洞(通用型漏洞)285个,网络信息系统漏洞(事件型漏洞)35个,漏洞平台推送漏洞9486个。

重大漏洞通报

Fortinet FortiClient 代码注入漏洞(CNNVD-202404-1054、CVE-2023-45590):未经身份验证的攻击者可通过诱导用户访问恶意网站来触发该漏洞从而导致任意代码执行。Fortinet FortiClientLinux 7.2.0版本、7.0.6至7.0.10版本和7.0.3至7.0.4版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1081个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有296个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到6.85%。新增漏洞中,超危漏洞33个,高危漏洞236个,中危漏洞795个,低危漏洞17个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1081个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有296个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
296
27.38%
2
微软
150
13.88%
3
Robot Operating System
63
5.83%
4
Linux基金会
44
4.07%
5
Adobe
27
2.50%
本周国内厂商漏洞83个,华为公司漏洞数量最多,有21个。国内厂商漏洞整体修复率为86.36%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到6.85%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
74
6.85%
2
跨站请求伪造
45
4.16%
3
SQL注入
40
3.70%
4
代码问题
17
1.57%
5
缓冲区错误
10
0.93%
6
路径遍历
10
0.93%
7
输入验证错误
9
0.83%
8
操作系统命令注入
8
0.74%
9
日志信息泄露
8
0.74%
10
信息泄露
7
0.65%
11
代码注入
5
0.46%
12
资源管理错误
4
0.37%
13
信任管理问题
4
0.37%
14
访问控制错误
3
0.28%
15
权限许可和访问控制问题
2
0.19%
16
授权问题
2
0.19%
17
格式化字符串错误
1
0.09%
18
数据伪造问题
1
0.09%
19
其他
831
76.87%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞33个,高危漏洞236个,中危漏洞795个,低危漏洞17个。相应修复率分别为87.88%、92.37%、84.53%和64.71%。根据补丁信息统计,合计930个漏洞已有修复补丁发布,整体修复率为86.03%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
33
29
87.88%
2
高危
236
218
92.37%
3
中危
795
672
84.53%
4
低危
17
11
64.71%
合计
1081
930
86.03%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞类型
漏洞编号
厂商
漏洞实例
是否修复
危害等级
1
代码注入
CNNVD-202404-1218
Apache基金会
Apache Zeppelin 代码注入漏洞
超危
2
其他
CNNVD-202404-1173
微软
Microsoft Windows Kernel 安全漏洞
高危
3
其他
CNNVD-202404-1244
WordPress基金会
WordPress plugin Elementor Addon Elements 安全漏洞
高危

1.Apache Zeppelin 代码注入漏洞(CNNVD-202404-1218)

Apache Zeppelin是美国阿帕奇(Apache)基金会的一款基于Web的开源笔记本应用程序,该应用程序支持交互式数据分析和协作文档。
Apache Zeppelin 0.11.0之前版本存在代码注入漏洞。攻击者利用该漏洞通过JDBC驱动程序连接MySQL数据库时可以注入恶意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/752qdk0rnkd9nqtornz734zwb7xdwcdb

2.Microsoft Windows Kernel 安全漏洞(CNNVD-202404-1173)

Microsoft Windows Kernel是美国微软(Microsoft)公司的Windows操作系统的内核。
Microsoft Windows Kernel存在安全漏洞。攻击者利用该漏洞可以提升权限。以下产品和版本受到影响:Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows 10 Version 1809 for ARM64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 11 version 21H2 for x64-based Systems,Windows 11 version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26218

3.WordPress plugin Elementor Addon Elements 安全漏洞(CNNVD-202404-1244)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Elementor Addon Elements 1.13.2版本及之前版本存在安全漏洞,该漏洞源于对用户提供的输入清理和输出转义不足。攻击者利用该漏洞可以执行存储型跨站脚本攻击。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/threat-intel/vulnerabilities/id/dcc5a611-23bf-499e-8141-684458d9ce3b?source=cve

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞9486个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
漏洞盒子
8505
2
补天平台
793
3
360漏洞云
188
推送总计
9486

三、接报漏洞情况

本周CNNVD接报漏洞320个,其中信息技术产品漏洞(通用型漏洞)285个,网络信息系统漏洞(事件型漏洞)35个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
北京中关村实验室
79
2
个人
37
3
北京网藤科技有限公司
14
4
中资网络信息安全科技有限公司
10
5
北京天融信网络安全技术有限公司
9
6
北京容辉智信科技有限公司
8
7
河南灵创电子科技有限公司
7
8
中电智安科技有限公司
7
9
北京边界无限科技有限公司
6
10
南京聚铭网络科技有限公司
6
11
北京威努特技术有限公司
5
12
道普信息技术有限公司
5
13
福建经联网络技术有限公司
5
14
广州市昊恒信息科技有限公司
5
15
贵州泰若数字科技有限公司
5
16
内蒙古旌云科技有限公司
5
17
北京华云安信息技术有限公司
4
18
成都创信华通信息技术有限公司
4
19
广州竞远安全技术股份有限公司
4
20
山西轩辕信息安全技术有限公司
4
21
新华三技术有限公司
4
22
北京神州绿盟科技有限公司
3
23
北京有略安全技术有限公司
3
24
杭州海康威视数字技术股份有限公司
3
25
杭州美创科技股份有限公司
3
26
河南东方云盾信息技术有限公司
3
27
金盾检测技术股份有限公司
3
28
内蒙古数字安全科技有限公司
3
29
奇安信网神信息技术(北京)股份有限公司
3
30
上海斗象信息科技有限公司
3
31
天翼数智科技(北京)有限公司
3
32
亚信科技(成都)有限公司
3
33
安徽长泰科技有限公司
2
34
北方实验室(沈阳)股份有限公司
2
35
北京奇虎科技有限公司
2
36
黑龙江安信与诚科技开发有限公司
2
37
湖南省金盾信息安全等级保护评估中心有限公司
2
38
南京禾盾信息科技有限公司
2
39
赛尔网络有限公司
2
40
山东维平信息安全测评技术有限公司
2
41
山石网科通信技术股份有限公司
2
42
深信服科技股份有限公司
2
43
思而听(山东)网络科技有限公司
2
44
远江盛邦(北京)网络安全科技股份有限公司
2
45
云盾智慧安全科技有限公司
2
46
中电长城网际系统应用有限公司
2
47
北京安信天行科技有限公司
1
48
北京启明星辰信息安全技术有限公司
1
49
北京圣博润高新技术股份有限公司
1
50
北京源堡科技有限公司
1
51
成都安美勤信息技术股份有限公司
1
52
成都比特威锐科技有限公司
1
53
福建银数信息技术有限公司
1
54
广东信网数安科技有限公司
1
55
广州纬安科技有限公司
1
56
华为技术有限公司
1
57
江苏保旺达软件技术有限公司
1
58
江西中和证信息安全技术有限公司
1
59
京东科技信息技术有限公司
1
60
科来网络技术股份有限公司
1
61
内蒙古宇世信息技术有限公司
1
62
山东新潮信息技术有限公司
1
63
山西晋信安科技有限公司
1
64
上海谋乐网络科技有限公司
1
65
上海云盾信息技术有限公司
1
66
深圳市深信服信息安全有限公司
1
67
苏州棱镜七彩信息科技有限公司
1
68
途耀信息技术(上海)有限公司
1
69
维安(山东)数字技术有限公司
1
70
西安交大捷普网络科技有限公司
1
71
星云博创科技有限公司
1
72
长扬科技(北京)股份有限公司
1
报送总计
320

四、收录漏洞通报情况

本周CNNVD收录漏洞通报87份。

表7本周漏洞通报情况

序号
报送单位
通报总量
1
中孚安全技术有限公司
13
2
南京禾盾信息科技有限公司
10
3
北京五一嘉峪科技有限公司
7
4
瑞数信息技术(上海)有限公司
6
5
西安交大捷普网络科技有限公司
4
6
北京山石网科信息技术有限公司
3
7
河南东方云盾信息技术有限公司
3
8
奇安信网神信息技术(北京)股份有限公司
3
9
北京华云安信息技术有限公司
2
10
北京天融信网络安全技术有限公司
2
11
北京天下信安技术有限公司
2
12
华为技术有限公司
2
13
锐捷网络股份有限公司
2
14
上海计算机软件技术开发中心
2
15
深信服科技股份有限公司
2
16
浙江大华技术股份有限公司
2
17
中电智安科技有限公司
2
18
中国电信股份有限公司网络安全产品运营中心
2
19
安徽三实软件科技有限公司
1
20
北京安天网络安全技术有限公司
1
21
北京时代新威信息技术有限公司
1
22
北京天地和兴科技有限公司
1
23
北京长亭科技有限公司
1
24
广东信网数安科技有限公司
1
25
杭州安恒信息技术股份有限公司
1
26
杭州美创科技股份有限公司
1
27
河南悦海数安科技有限公司
1
28
江苏讯安信息安全技术有限公司
1
29
浪潮电子信息产业股份有限公司
1
30
南京聚铭网络科技有限公司
1
31
三六零数字安全科技集团有限公司
1
32
山东维平信息安全测评技术有限公司
1
33
上海三零卫士信息安全有限公司
1
34
途耀信息技术(上海)有限公司
1
35
维安(山东)数字技术有限公司
1
36
星云博创科技有限公司
1
收录总计
87

五、重大漏洞通报

CNNVD关于Fortinet FortiClient

代码注入漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiClient 代码注入漏洞(CNNVD-202404-1054、CVE-2023-45590)情况的报送。未经身份验证的攻击者可通过诱导用户访问恶意网站来触发该漏洞从而导致任意代码执行。Fortinet FortiClientLinux 7.2.0版本、7.0.6至7.0.10版本和7.0.3至7.0.4版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

1.漏洞介绍

Fortinet FortiClient是美国飞塔(Fortinet)公司的一套移动终端安全解决方案。该方案与FortiGate防火墙设备连接时可提供IPsec和SSL加密、广域网优化、终端合规和双因子认证等功能。未经身份验证的攻击者可通过诱导FortiClientLinux用户访问恶意网站来触发该漏洞,从而导致任意代码执行。

2.危害影响

Fortinet FortiClientLinux 7.2.0版本、7.0.6至7.0.10版本和7.0.3至7.0.4版本均受此漏洞影响。

3.修复建议

目前,Fortinet官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://www.fortiguard.com/psirt/FG-IR-23-087


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网