根据国家信息安全漏洞库(CNNVD)统计, 本周(2024 年 6 月 3 日至 2024 年 6 月 9 日)安全漏洞情况如下:
公开漏洞情况 本周 CNNVD 采集安全漏洞 798 个。
接报漏洞情况 本周 CNNVD 接报漏洞 7795 个,其中信息技术产品漏洞(通用型 漏洞) 246 个, 网络信息系统漏洞(事件型漏洞) 68 个, 漏洞平台推 送漏洞 7481 个。 |
一、 公开漏洞情况
根据国家信息安全漏洞库(CNNVD) 统计,本周新增安全漏洞 798 个,漏洞新增数量有所上升。从厂商分布来看WordPress 基金会新增 漏洞最多,有 397 个;从漏洞类型来看,跨站脚本类的安全漏洞占比 最大,达到 10.28%。新增漏洞中,超危漏洞 30 个,高危漏洞 116 个, 中危漏洞 648 个,低危漏洞 4 个。
(一) 安全漏洞增长数量情况
本周 CNNVD 采集安全漏洞 798 个。
(二) 安全漏洞分布情况
从厂商分布来看,WordPress 基金会新增漏洞最多,有 397 个。 各厂商漏洞数量分布如表 1 所示。
表 1 新增安全漏洞排名前五厂商统计表
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | WordPress 基金会 | 397 | 49.75% |
2 | 三星 | 38 | 4.76% |
3 | lunary | 14 | 1.75% |
4 | 高通 | 12 | 1.50% |
5 | 联发科 | 11 | 1.38% |
本周国内厂商漏洞 39 个,联发科公司漏洞数量最多,有 11 个。 国内厂商漏洞整体修复率为 72.50%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大, 达到
10.28%。漏洞类型统计如表 2 所示。
表 2 漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 跨站脚本 | 82 | 10.28% |
2 | SQL 注入 | 22 | 2.76% |
3 | 代码问题 | 21 | 2.63% |
4 | 信息泄露 | 16 | 2.01% |
5 | 路径遍历 | 13 | 1.63% |
6 | 授权问题 | 12 | 1.50% |
7 | 输入验证错误 | 9 | 1.13% |
8 | 访问控制错误 | 8 | 1.00% |
9 | 跨站请求伪造 | 8 | 1.00% |
10 | 操作系统命令注入 | 8 | 1.00% |
11 | 日志信息泄露 | 4 | 0.50% |
12 | 命令注入 | 3 | 0.38% |
13 | 资源管理错误 | 2 | 0.25% |
14 | 注入 | 1 | 0.13% |
15 | 数据伪造问题 | 1 | 0.13% |
16 | 竞争条件问题 | 1 | 0.13% |
17 | 代码注入 | 1 | 0.13% |
18 | 信任管理问题 | 1 | 0.13% |
19 | 其他 | 585 | 73.31% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞 30 个, 高危漏洞 116 个, 中危漏洞 648 个, 低危漏洞 4 个。相应修复率分别为 83.33%、75.86%、81.79%和 75.00%。 根据补丁信息统计,合计 646 个漏洞已有修复补丁发布,整体修复率
为 80.95%。详细情况如表 3 所示。
表 3 漏洞危害等级与修复情况
序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
1 | 超危 | 30 | 25 | 83.33% |
2 | 高危 | 116 | 88 | 75.86% |
3 | 中危 | 648 | 530 | 81.79% |
4 | 低危 | 4 | 3 | 75.00% |
合计 | 798 | 646 | 80.95% |
(四) 本周重要漏洞实例
本周重要漏洞实例如表 4 所示。
表 4 本期重要漏洞实例
序 号 | 漏洞 | 漏洞编号 | 厂商 | 漏洞实例 | 是否 修复 | 危害 等级 |
类型 | ||||||
1 | 路径遍 历 | CNNVD-202406-159 | Apache 基 金会 | Apache OFBiz 路径遍历漏洞 | 是 | 超危 |
2 | 代码问 题 | CNNVD-202406-373 | 思科 | Cisco Finesse 代码问题漏洞 | 是 | 高危 |
3 |
其他 |
CNNVD-202406-346 | WordPress 基金会 | WordPress plugin Brizy 安全漏洞 |
是 |
高危 |
1. Apache OFBiz 路径遍历漏洞(CNNVD-202406-159)
Apache OFBiz 是美国阿帕奇(Apache) 基金会的一套企业资源 计划(ERP) 系统。该系统提供了一整套基于 Java 的 Web 应用程序组 件和工具。
Apache OFBiz 18.12.14 之前版本存在路径遍历漏洞, 该漏洞源 于对路径名限制不当。攻击者利用该漏洞可以读取服务器上的任意文 件。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/sv0xr8b1j7mmh5p37yldy9v mnzbodz2o
2. Cisco Finesse 代码问题漏洞(CNNVD-202406-373)
Cisco Finesse 是美国思科(Cisco)公司的一套呼叫中心管理 软件。
Cisco Finesse 存在代码问题漏洞,该漏洞源于对用户输入验证 不足。攻击者利用该漏洞可以获取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://sec.cloudapps.cisco.com/security/center/content /CiscoSecurityAdvisory/cisco-sa-finesse-ssrf-rfi-Um7wT8Ew
3. WordPress plugin Brizy 安全漏洞(CNNVD-202406-346)
WordPress 和 WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和MySQL 的服务器上架设个人博客网站。 WordPress plugin 是一个 应用插件。
WordPress plugin Brizy 2.4.43 版本及之前版本存在安全漏洞, 该漏洞源于对用户提供的属性的输入清理和输出转义不足。攻击者利 用该漏洞可以在页面中注入任意 Web 脚本。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wordpress.org/plugins/brizy/
二、漏洞平台推送情况
本周 CNNVD 接收漏洞平台推送漏洞 7481 个。
表 5 本周漏洞平台推送情况
序号 | 漏洞平台 | 漏洞总量 |
1 | 补天平台 | 6819 |
2 | 360 漏洞云 | 399 |
3 | 漏洞盒子 | 263 |
推送总计 | 7481 |
三、接报漏洞情况
本周 CNNVD 接报漏洞 314 个, 其中信息技术产品漏洞(通用型漏
洞) 246 个,网络信息系统漏洞(事件型漏洞) 68 个。
表 6 本周漏洞报送情况
序号 | 报送单位 | 漏洞总量 |
1 | 内蒙古旌云科技有限公司 | 46 |
2 | 北京安天网络安全技术有限公司 | 23 |
3 | 北京天融信网络安全技术有限公司 | 23 |
4 | 个人 | 21 |
5 | 星云博创科技有限公司 | 20 |
6 | 成都创信华通信息技术有限公司 | 15 |
7 | 中孚安全技术有限公司 | 15 |
8 | 中国电信股份有限公司网络安全产品运营中心 | 11 |
9 | 北京赛博昆仑科技有限公司 | 10 |
10 | 中资网络信息安全科技有限公司 | 10 |
11 | 华为技术有限公司 | 8 |
12 | 江西中和证信息安全技术有限公司 | 8 |
13 | 北京天地和兴科技有限公司 | 7 |
14 | 北京安博通科技股份有限公司 | 6 |
15 | 三六零数字安全科技集团有限公司 | 6 |
16 | 安徽三实软件科技有限公司 | 5 |
17 | 零日信安(武汉市)技术有限责任公司 | 5 |
18 | 安恒愿景(成都)信息科技有限公司 | 4 |
19 | 广州竞远安全技术股份有限公司 | 4 |
20 | 河南灵创电子科技有限公司 | 4 |
21 | 新基信息技术集团股份有限公司 | 4 |
22 | 北方实验室(沈阳)股份有限公司 | 3 |
23 | 成都安美勤信息技术股份有限公司 | 3 |
24 | 佛山市星络科技有限公司 | 3 |
25 | 国威(北京)信息安全技术有限公司 | 3 |
26 | 河南东方云盾信息技术有限公司 | 3 |
27 | 深信服科技股份有限公司 | 3 |
28 | 深圳海云安网络安全技术有限公司 | 3 |
29 | 深圳建安润星安全技术有限公司 | 3 |
30 | 湖北肆安科技有限公司 | 2 |
31 | 赛尔网络有限公司 | 2 |
32 | 天津市兴先道科技有限公司 | 2 |
33 | 武汉非尼克斯软件技术有限公司 | 2 |
34 | 北京比瓴科技有限公司 | 1 |
35 | 北京神州绿盟科技有限公司 | 1 |
36 | 超聚变数字技术有限公司 | 1 |
37 | 成都数默科技有限公司 | 1 |
38 | 甘肃赛飞安全科技有限公司 | 1 |
39 | 贵州泰若数字科技有限公司 | 1 |
40 | 国网宁夏电科院 | 1 |
41 | 杭州安恒信息技术股份有限公司 | 1 |
42 | 河南天祺信息安全技术有限公司 | 1 |
43 | 湖南中测网安信息技术有限公司 | 1 |
44 | 浪潮电子信息产业股份有限公司 | 1 |
45 | 马鞍山书拓安全科技有限公司 | 1 |
46 | 内蒙古服安科技有限公司 | 1 |
47 | 厦门服云信息科技有限公司 | 1 |
48 | 山石网科通信技术股份有限公司 | 1 |
49 | 山西轩辕信息安全技术有限公司 | 1 |
50 | 上海吨吨信息技术有限公司 | 1 |
51 | 上海嘉韦思信息技术有限公司 | 1 |
52 | 上海匡创信息技术有限公司 | 1 |
53 | 上海云盾信息技术有限公司 | 1 |
54 | 上海只柏特信息技术有限公司 | 1 |
55 | 腾讯云计算(北京)有限责任公司 | 1 |
56 | 天翼数智科技(北京)有限公司 | 1 |
57 | 西藏熙安信息技术有限责任公司 | 1 |
58 | 浙江齐安信息科技有限公司 | 1 |
59 | 中科信息安全共性技术国家工程研究中心有限 公司 | 1 |
60 | 中控技术股份有限公司 | 1 |
报送总计 | 314 |
四、收录漏洞通报情况
本周 CNNVD 收录漏洞通报 110 份。
表 7 本周漏洞通报情况
序号 | 报送单位 | 通报总量 |
1 | 中孚安全技术有限公司 | 15 |
2 | 浙江极安信息科技有限公司 | 8 |
3 | 南京禾盾信息科技有限公司 | 5 |
4 | 浙江大华技术股份有限公司 | 5 |
5 | 工业和信息化部电子第五研究所 | 4 |
6 | 江西神舟信息安全评估中心有限公司 | 4 |
7 | 深信服科技股份有限公司 | 4 |
8 | 新华三技术有限公司 | 4 |
9 | 北京安博通科技股份有限公司 | 3 |
10 | 北京国信城研科学技术研究院 | 3 |
11 | 北京网藤科技有限公司 | 3 |
12 | 河南天祺信息安全技术有限公司 | 3 |
13 | 华为技术有限公司 | 3 |
14 | 深圳建安润星安全技术有限公司 | 3 |
15 | 天津市兴先道科技有限公司 | 3 |
16 | 永信至诚科技集团股份有限公司 | 3 |
17 | 中科信息安全共性技术国家工程研究中心有限 公司 | 3 |
18 | 北京安天网络安全技术有限公司 | 2 |
19 | 北京天融信网络安全技术有限公司 | 2 |
20 | 贵州泰若数字科技有限公司 | 2 |
21 | 河南东方云盾信息技术有限公司 | 2 |
22 | 奇安信网神信息技术(北京)股份有限公司 | 2 |
23 | 上海戟安科技有限公司 | 2 |
24 | 北京触点互动信息技术有限公司 | 1 |
25 | 北京华云安信息技术有限公司 | 1 |
26 | 北京启明星辰信息安全技术有限公司 | 1 |
27 | 北京山石网科信息技术有限公司 | 1 |
28 | 北京天地和兴科技有限公司 | 1 |
29 | 北京信联数安科技有限公司 | 1 |
30 | 北京长亭科技有限公司 | 1 |
31 | 道普信息技术有限公司 | 1 |
32 | 广州纬安科技有限公司 | 1 |
33 | 贵州数创控股(集团)有限公司 | 1 |
34 | 杭州安恒信息技术股份有限公司 | 1 |
35 | 杭州迪普科技股份有限公司 | 1 |
36 | 江西和尔惠信息技术有限公司 | 1 |
37 | 马鞍山书拓安全科技有限公司 | 1 |
38 | 锐捷网络股份有限公司 | 1 |
39 | 三六零数字安全科技集团有限公司 | 1 |
40 | 深圳市网安计算机安全检测技术有限公司 | 1 |
41 | 苏州棱镜七彩信息科技有限公司 | 1 |
42 | 远江盛邦(北京)网络安全科技股份有限公司 | 1 |
43 | 云上广济(贵州)信息技术有限公司 | 1 |
44 | 中国信息安全测评中心华中测评中心(湖南省信息安全测评中心) | 1 |
45 | 重庆梦之想科技有限责任公司 | 1 |
收录总计 | 110 |