信息安全漏洞周报(2024 年第 24 期 总第 732 期)

发 布者:网络中心发布时间:2024-06-14浏览次数:187

  根据国家信息安全漏洞库(CNNVD)统计, 本周(2024 年 6 月 3  2024 年 6 月 9 日)安全漏洞情况如下:

开漏洞情况

本周 CNNVD 采集安全漏洞 798 个。

 

接报漏洞情况

本周 CNNVD 接报漏洞 7795 个,其中信息技术产品漏洞(通用型 漏洞) 246 个, 网络信息系统漏洞(事件型漏洞) 68 个, 漏洞平台推 漏洞 7481 个。

 


 公开漏洞情况

根据国家信息安全漏洞库(CNNVD) 统计,本周新增安全漏洞 798 个,漏洞新增数量有所上升。从厂商分布来看WordPress 基金会新增 漏洞最多,有 397 个;从漏洞类型来看,跨站脚本类的安全漏洞占比 ,达到 10.28%。新增漏洞中,超危漏洞 30 个,高危漏洞 116 个, 危漏洞 648 个,低危漏洞 4 个。

()  安全漏洞增长数量情况

 CNNVD 采集安全漏洞 798 个。

 

 (二)  安全漏洞分布情况

厂商分布来看,WordPress 基金会新增漏洞最多,有 397 个。 厂商漏洞数量分布如表 1 所示。

 1 新增安全漏洞排名前五厂商统计表

 

商名称

洞数量(个)

所占比

1

WordPress 金会

397

49.75%

 


 

2

38

4.76%

3

lunary

14

1.75%

4

高通

12

1.50%

5

发科

11

1.38%

本周国内厂商漏洞 39 个,联发科公司漏洞数量最多,有 11 个 国内厂商漏洞整体修复率为 72.50%。请受影响用户关注厂商修复况,及时下载补丁修复漏洞

漏洞类型来看, 跨站脚本类的安全漏洞占比最大, 达到

10.28%。漏洞类型统计如表 2 所示。

 2 漏洞类型统计表

 

漏洞类

漏洞数量(个)

所占比

1

跨站脚本

82

10.28%

2

SQL 注入

22

2.76%

3

代码问

21

2.63%

4

信息泄露

16

2.01%

5

径遍历

13

1.63%

6

授权问

12

1.50%

7

输入验证错误

9

1.13%

8

访问控制错误

8

1.00%

9

跨站请求伪造

8

1.00%

10

操作系统命令注入

8

1.00%

11

志信息泄露

4

0.50%

12

命令注

3

0.38%

13

资源理错误

2

0.25%

14

1

0.13%

 


 

15

数据伪造问题

1

0.13%

16

竞争条件问

1

0.13%

17

代码注

1

0.13%

18

信任管理问题

1

0.13%

19

585

73.31%

 

()  安全漏洞危害等级与修复情况

 

 

周共发布超危漏洞 30 个, 高危漏洞 116 个, 中危漏洞 648 个, 低危漏洞 4 个。相应修复率分别为 83.33%、75.86%、81.79%和 75.00% 补丁信息统计,合计 646 个漏洞已有修复补丁发布,整体修复率

 80.95%。详细情况如表 3 所示。

 3 漏洞危害等级与修复情况

 

序号

危害等级

洞数量(个)

复数量(个)

复率

1

30

25

83.33%

2

高危

116

88

75.86%

3

中危

648

530

81.79%

4

4

3

75.00%

合计

798

646

80.95%

()  本周重要漏洞实例

重要漏洞实例如表 4 所示。

 4 本期重要漏洞实例

 

 

漏洞编

漏洞实

等级

1

径遍 

CNNVD-202406-159

Apache  金会

Apache OFBiz 路径遍历漏洞

2

 

CNNVD-202406-373

Cisco Finesse 代码问题漏洞

高危

 


 

 

3

 

 

CNNVD-202406-346

WordPress 金会

WordPress

plugin Brizy

漏洞

 

 

高危

1. Apache OFBiz 路径遍历漏洞(CNNVD-202406-159)

Apache OFBiz 是美国阿帕奇(Apache) 基金会的一套企业资源 (ERP) 系统。该系统提供了一整套基于 Java 的 Web 应用程序组 件和工具。

Apache OFBiz 18.12.14 之前版本存在路径遍历漏洞, 该漏洞源 于对路径限制不当。攻击者利用该漏洞可以读取服务器上的任意文 

厂商已发布升级补丁以修复漏洞,参考链接:

https://lists.apache.org/thread/sv0xr8b1j7mmh5p37yldy9v mnzbodz2o

2. Cisco Finesse 代码问题漏洞(CNNVD-202406-373)

Cisco Finesse 是美国思科(Cisco)公司的一套呼叫中心管 件。

Cisco Finesse 存在码问题漏洞,该漏洞源于对用户输入验证 不足攻击者利用该漏洞可以获取敏感信息。

厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content /CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew

3. WordPress plugin Brizy 安全漏洞(CNNVD-202406-346)

WordPress  WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP MySQL 服务器上架设个人博客网站。 WordPress plugin 是一个 应用插件。


WordPress plugin Brizy 2.4.43 版本及之前版本存在安全漏洞, 该漏洞源于用户提供的属性的输入清理和输出转义不足。攻击者利 该漏洞可以在页面中注入任意 Web 脚本。

厂商已发布升级补丁以修复漏洞,参考链接:

https://wordpress.org/plugins/brizy/

、漏洞平台推送情况

 CNNVD 接收漏洞平台推送漏洞 7481 个。

 5 本周漏洞平台推送情况

 

序号

漏洞平台

漏洞总量

1

补天平台

6819

2

360 漏洞云

399

3

漏洞盒子

263

推送总计

7481

、接报漏洞情况

本周 CNNVD 接报漏洞 314 个, 其中信息技术产品漏洞(通用型漏

) 246 个,网络信息系统漏洞(事件型漏洞) 68 个。

 6 本周漏洞报送情况

 

序号

报送单位

漏洞总量

1

蒙古旌云科技有限公司

46

2

北京安天网络安全技术有限公

23

3

北京天融信网络安全技术有限公司

23

4

21

5

星云博创科技有限公司

20

6

成都创信华通信息技术有限公司

15

7

中孚安全技术有限公

15

 


 

8

中国电信股份有限公司网络安全产品运营中心

11

9

京赛博昆仑科技有限公司

10

10

资网络信息安全科技有限公司

10

11

华为技术有限公司

8

12

江西中和证信息安全技术有限公司

8

13

京天地和兴科技有限公司

7

14

北京安博通科技股份有限公司

6

15

三六零数字安全科技集团有限公司

6

16

徽三实软件科技有限公司

5

17

日信安(武汉市)技术有限责任公司

5

18

恒愿景(成都)信息科技有限公司

4

19

广州竞远安全技术股份有限公司

4

20

河南灵创电子科技有限公司

4

21

新基信息技术集团股份有限公司

4

22

方实验室(沈阳)股份有限公司

3

23

成都安美勤信息技术股份有限公司

3

24

佛山市星络科技有限公

3

25

国威(北京)信息安全技术有限公

3

26

河南东方云盾信息技术有限公司

3

27

深信服科技股份有限公司

3

28

深圳海云安网络安全技术有限公司

3

29

深圳建安润星安全技术有限公司

3

30

湖北肆安科技有限公司

2

31

赛尔网络有限公司

2

 


 

32

津市兴先道科技有限公司

2

33

武汉非尼克斯软件技术有限公司

2

34

北京比瓴科技有限公司

1

35

京神州绿盟科技有限公司

1

36

超聚变数字技术有限公司

1

37

都数默科技有限公司

1

38

甘肃赛飞安全科技有限公司

1

39

贵州泰若数字科技有限公司

1

40

网宁夏电科院

1

41

杭州安恒信息技术股份有限公司

1

42

河南天祺信息安全技术有限公司

1

43

湖南中测网安信息技术有限公司

1

44

浪潮电子信息产业股份有限公

1

45

马鞍山书拓安全科技有限公司

1

46

蒙古服安科技有限公司

1

47

厦门服云信息科技有限公司

1

48

石网科通信技术股份有限公司

1

49

西轩辕信息安全技术有限公司

1

50

上海吨吨信息技术有限公

1

51

上海嘉韦思信息技术有限公司

1

52

上海匡创信息技术有限公

1

53

上海云盾信息技术有限公

1

54

上海只柏特信息技术有限公司

1

55

讯云计算(北京)有限责任公司

1

 


 

56

翼数智科技(北京)有限公司

1

57

西藏熙安信息技术有限责任公司

1

58

浙江齐安信息科技有限公司

1

59

中科信息安全共性技术国家工程研究中心有限 

1

60

中控技术股份有限公

1

报送总计

314

收录漏洞通报情况

本周 CNNVD 收录漏洞通报 110 份。

 

 7 本周漏洞通报情况

 

序号

报送单位

通报总量

1

中孚安全技术有限公

15

2

浙江极安信息科技有限公司

8

3

南京禾盾信息科技有限公司

5

4

浙江大华技术股份有限公司

5

5

工业和信息化部电子第五研究所

4

6

江西神舟信息安全评估中心有限公司

4

7

深信服科技股份有限公司

4

8

华三技术有限公司

4

9

北京安博通科技股份有限公司

3

10

北京国信城研科学技术研究院

3

11

北京网藤科技有限公司

3

12

河南天祺信息安全技术有限公司

3

13

华为技术有限公司

3

14

深圳建安润星安全技术有限公司

3

 


 

15

津市兴先道科技有限公司

3

16

永信至诚科技集团股份有限公司

3

17

中科信息安全共性技术国家工程研究中心有限 

3

18

北京安天网络安全技术有限公

2

19

北京天融信网络安全技术有限公司

2

20

贵州泰若数字科技有限公司

2

21

河南东方云盾信息技术有限公司

2

22

奇安信网神信息技术(北京)股份有限公司

2

23

海戟安科技有限公司

2

24

北京触点互动信息技术有限公

1

25

北京华云安信息技术有限公司

1

26

北京启明星辰信息安全技术有限公司

1

27

北京山石网科信息技术有限公

1

28

京天地和兴科技有限公司

1

29

京信联数安科技有限公司

1

30

北京长亭科技有限公司

1

31

道普信息技术有限公司

1

32

广州纬安科技有限公

1

33

州数创控股(集团)有限公司

1

34

杭州安恒信息技术股份有限公司

1

35

杭州迪普科技股份有限公司

1

36

江西和尔惠信息技术有限公司

1

37

马鞍山书拓安全科技有限公司

1

 


 

38

锐捷网络股份有限公司

1

39

三六零数字安全科技集团有限公司

1

40

深圳市网安计算机安全检测技术有限公司

1

41

苏州棱镜七彩信息科技有限公司

1

42

远江盛邦(北京)网络安全科技股份有限公司

1

43

云上广济(贵州)信息技术有限公司

1

44

中国信息安全测评中心华中测评中心(湖南安全测评中心)

1

45

重庆梦之想科技有限责任公司

1

录总计

110