根据国家信息安全漏洞库(CNNVD)统计,本周(2022年12月5日至2022年12月11日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞621个。
接报漏洞情况
本周CNNVD接报漏洞5473,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)415个,漏洞平台推送漏洞4873个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞621个,漏洞新增数量有所上升。从厂商分布来看谷歌公司新增漏洞最多,有208个;从漏洞类型来看,缓冲区错误类的安全漏洞占比最大,达到11.92%。新增漏洞中,超危漏洞59个,高危漏洞115个,中危漏洞437个,低危漏洞10个。相应修复率分别为69.49%、64.35%、92.91%和100.00%。根据补丁信息统计,合计531个漏洞已有修复补丁发布,整体修复率为85.51%。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞621个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,谷歌公司新增漏洞最多,有208个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | 谷歌 | 208 | 33.49% |
2 | 紫光展锐 | 36 | 5.80% |
3 | 腾达 | 29 | 4.67% |
4 | WordPress基金会 | 28 | 4.51% |
5 | 华为 | 24 | 3.86% |
本周国内厂商漏洞134个,紫光展锐公司漏洞数量最多,有36个。国内厂商漏洞整体修复率为71.85%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 缓冲区错误类的安全漏洞占比最大,达到11.92%。漏洞类型统计如表3所示。
表2 漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 缓冲区错误 | 74 | 11.92% |
2 | 跨站脚本 | 38 | 6.12% |
3 | SQL注入 | 19 | 3.06% |
4 | 输入验证错误 | 13 | 2.09% |
5 | 代码问题 | 10 | 1.61% |
6 | 资源管理错误 | 7 | 1.13% |
7 | 路径遍历 | 6 | 0.97% |
8 | 信息泄露 | 6 | 0.97% |
9 | 命令注入 | 6 | 0.97% |
10 | 操作系统命令注入 | 6 | 0.97% |
11 | 代码注入 | 5 | 0.81% |
12 | 跨站请求伪造 | 4 | 0.64% |
13 | 授权问题 | 3 | 0.48% |
14 | 信任管理问题 | 3 | 0.48% |
15 | 竞争条件问题 | 3 | 0.48% |
16 | 访问控制错误 | 3 | 0.48% |
17 | 注入 | 2 | 0.32% |
18 | 数据伪造问题 | 1 | 0.16% |
19 | 加密问题 | 1 | 0.16% |
20 | 日志信息泄露 | 1 | 0.16% |
21 | 安全特征问题 | 1 | 0.16% |
22 | 环境问题 | 1 | 0.16% |
23 | 其他 | 408 | 65.70% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞59个,高危漏洞115个,中危漏洞437个,低危漏洞10个。相应修复率分别为69.49%、64.35%、92.91%和100.00%。根据补丁信息统计,合计531个漏洞已有修复补丁发布,整体修复率为85.51%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
1 | 超危 | 59 | 41 | 69.49% |
2 | 高危 | 115 | 74 | 64.35% |
3 | 中危 | 437 | 406 | 92.91% |
4 | 低危 | 10 | 10 | 100.00% |
合计 | 621 | 531 | 85.51% | |
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号 | 漏洞 | 漏洞编号 | 厂商 | 漏洞实例 | 是否修复 | 危害等级 |
类型 | ||||||
1 | 缓冲区错误 | CNNVD-202212-2610 | 谷歌 | Google TensorFlow 缓冲区错误漏洞 | 是 | 超危 |
2 | 缓冲区错误 | CNNVD-202212-2644 | IBM | IBM Content Navigator 缓冲区错误漏洞 | 是 | 高危 |
3 | 路径遍历 | CNNVD-202212-2608 | WordPress基金会 | WordPress plugin Easy WP SMTP 路径遍历漏洞 | 是 | 高危 |
1.Google TensorFlow 缓冲区错误漏洞(CNNVD-202212-2610)
Google TensorFlow是美国谷歌(Google)公司的一套用于机器学习的端到端开源平台。
Google TensorFlow 2.11.0之前版本存在缓冲区错误漏洞,该漏洞源于当输入长度大于或等于输出大小时,则会触发越界内存读取或程序崩溃。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/tensorflow/tensorflow/security/advisories/GHSA-frqp-wp83-qggv
2. IBM Content Navigator 缓冲区错误漏洞(CNNVD-202212-2644)
IBM Content Navigator是美国国际商业机器(IBM)公司的一款Web客户机。该产品支持从Web浏览器搜索和处理存储在内容服务器中的文档。
IBM Content Navigator存在安全漏洞。攻击者利用该漏洞加载外部插件并执行代码。以下版本受到影响:3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6、3.0.7、3.0.8、3.0.9、3.0.10、3.0.11和3.0.12版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ibm.com/support/pages/node/6844453
3. WordPress plugin Easy WP SMTP 路径遍历漏洞(CNNVD-202212-2608)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Easy WP SMTP 1.5.1版本存在路径遍历漏洞。攻击者利用该漏洞获取目录文件夹中的敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wordpress.org/plugins/easy-wp-smtp/#developers
二、漏洞平台推送情况
本周漏洞平台推送漏洞4873个。
序号 | 漏洞平台 | 漏洞总量 |
1 | 补天平台 | 2576 |
2 | 漏洞盒子 | 1364 |
3 | 360漏洞云 | 933 |
推送总计 | 4873 | |
三、接报漏洞情况
本周CNNVD接报漏洞600个,其中信息技术产品漏洞(通用型漏洞)185个,网络信息系统漏洞(事件型漏洞)415个。
序号 | 报送单位 | 漏洞总量 |
1 | 上海斗象信息科技有限公司 | 20 |
2 | 杭州安恒信息技术股份有限公司 | 19 |
3 | 北京梆梆安全科技有限公司 | 12 |
4 | 北京山石网科信息技术有限公司 | 11 |
5 | 杭州默安科技有限公司 | 10 |
6 | 河南悦海数安科技有限公司 | 8 |
7 | 奇安信网神信息技术(北京)股份有限公司 | 8 |
8 | 北京国舜科技股份有限公司 | 7 |
9 | 卫士通(广州)信息安全技术有限公司 | 7 |
10 | 远江盛邦(北京)网络安全科技股份有限公司 | 7 |
11 | 内蒙古洞明科技有限公司 | 6 |
12 | 北京安华金和科技有限公司 | 5 |
13 | 北京华顺信安信息技术有限公司 | 5 |
14 | 北京天融信网络安全技术有限公司 | 5 |
15 | 长春嘉诚信息技术股份有限公司 | 5 |
16 | 北京优炫软件股份有限公司 | 4 |
17 | 三六零数字安全科技集团有限公司 | 4 |
18 | 上海安几科技有限公司 | 4 |
19 | 西安四叶草信息技术有限公司 | 4 |
20 | 北京安帝科技有限公司 | 3 |
21 | 北京微步在线科技有限公司 | 3 |
22 | 博智安全科技股份有限公司 | 3 |
23 | 苏州棱镜七彩信息科技有限公司 | 3 |
24 | 北京安信天行科技有限公司 | 2 |
25 | 北京金睛云华科技有限公司 | 2 |
26 | 北京兰云科技有限公司 | 2 |
27 | 北京墨云科技有限公司 | 2 |
28 | 北京中测安华科技有限公司 | 2 |
29 | 瑞数信息技术(上海)有限公司 | 2 |
30 | 个人 | 2 |
31 | 安徽华云安科技有限公司 | 1 |
32 | 北京启明星辰信息安全技术有限公司 | 1 |
33 | 北京知道创宇信息技术股份有限公司 | 1 |
34 | 河南灵创电子科技有限公司 | 1 |
35 | 上海矢安科技有限公司 | 1 |
36 | 四维创智(北京)科技发展有限公司 | 1 |
37 | 天翼数智科技(北京)有限公司 | 1 |
38 | 中能融合智慧科技有限公司 | 1 |
报送总计 | 185 | |
四、收录漏洞通报情况
本周CNNVD收录漏洞通报135份。
序号 | 报送单位 | 通报总量 |
1 | 北京云科安信科技有限公司 | 14 |
2 | 北京梆梆安全科技有限公司 | 11 |
3 | 博智安全科技股份有限公司 | 9 |
4 | 安徽华云安科技有限公司 | 8 |
5 | 北京华云安信息技术有限公司 | 8 |
6 | 中瑞创信息技术(北京)有限公司 | 8 |
7 | 上海安几科技有限公司 | 7 |
8 | 内蒙古洞明科技有限公司 | 6 |
9 | 安徽三实软件科技有限公司 | 5 |
10 | 深圳市深信服信息安全有限公司 | 5 |
11 | 新华三技术有限公司 | 5 |
12 | 浙江大华技术股份有限公司 | 5 |
13 | 南京禾盾信息科技有限公司 | 4 |
14 | 北京金睛云华科技有限公司 | 3 |
15 | 北京知道创宇信息技术股份有限公司 | 3 |
16 | 河南听潮盛世信息技术有限公司 | 3 |
17 | 奇安信网神信息技术(北京)股份有限公司 | 3 |
18 | 深信服科技股份有限公司 | 3 |
19 | 北京星阑科技有限公司 | 2 |
20 | 北京中测安华科技有限公司 | 2 |
21 | 河南悦海数安科技有限公司 | 2 |
22 | 京东科技信息技术有限公司 | 2 |
23 | 上海斗象信息科技有限公司 | 2 |
24 | 西安交大捷普网络科技有限公司 | 2 |
25 | 西安四叶草信息技术有限公司 | 2 |
26 | 北京六方云信息技术有限公司 | 1 |
27 | 北京雪诺科技有限公司 | 1 |
28 | 杭州美创科技有限公司 | 1 |
29 | 杭州默安科技有限公司 | 1 |
30 | 黑龙江安信与诚科技开发有限公司 | 1 |
31 | 山东云天安全技术有限公司 | 1 |
32 | 上海安识网络科技有限公司 | 1 |
33 | 深圳融安网络科技有限公司 | 1 |
34 | 亚信科技(成都)有限公司 | 1 |
35 | 浙江国利网安科技有限公司 | 1 |
36 | 浙江木链物联网科技有限公司 | 1 |
收录总计 | 135 | |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...