根据国家信息安全漏洞库(CNNVD) 统计, 本周(2024 年 5 月 27 日至 2024 年 6 月 2 日)安全漏洞情况如下:
公开漏洞情况 本周 CNNVD 采集安全漏洞 537 个。
接报漏洞情况 本周 CNNVD 接报漏洞 4590 个,其中信息技术产品漏洞(通用型 漏洞) 244 个, 网络信息系统漏洞(事件型漏洞) 20 个, 漏洞平台推 送漏洞 4326 个。 |
一、 公开漏洞情况
根据国家信息安全漏洞库(CNNVD) 统计,本周新增安全漏洞 537 个,漏洞新增数量有所下降。从厂商分布来看 Linux 基金会新增漏洞 最多,有 102 个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大, 达到 5.59%。新增漏洞中,超危漏洞 34 个,高危漏洞 92 个,中危漏 洞 403 个,低危漏洞8 个。
(一) 安全漏洞增长数量情况
本周 CNNVD 采集安全漏洞 537 个。
(二) 安全漏洞分布情况
从厂商分布来看,Linux 基金会新增漏洞最多,有 102 个。各厂 商漏洞数量分布如表 1 所示。
表 1 新增安全漏洞排名前五厂商统计表
序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
1 | Linux 基金会 | 102 | 18.99% |
2 | WordPress 基金会 | 79 | 14.71% |
3 | JetBrains | 18 | 3.35% |
4 | libigl | 17 | 3.17% |
5 | Ivanti | 17 | 3.17% |
本周国内厂商漏洞 49 个, 宏正自动科技公司漏洞数量最多,有 9 个。国内厂商漏洞整体修复率为 38.78%。请受影响用户关注厂商修 复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到5.59%。
漏洞类型统计如表 2 所示。
表 2 漏洞类型统计表
序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
1 | 跨站脚本 | 30 | 5.59% |
2 | SQL 注入 | 28 | 5.21% |
3 | 缓冲区错误 | 16 | 2.98% |
4 | 路径遍历 | 3 | 0.56% |
5 | 操作系统命令注入 | 3 | 0.56% |
6 | 跨站请求伪造 | 3 | 0.56% |
7 | 输入验证错误 | 3 | 0.56% |
8 | 访问控制错误 | 2 | 0.37% |
9 | 加密问题 | 2 | 0.37% |
10 | 信任管理问题 | 2 | 0.37% |
11 | 代码注入 | 1 | 0.19% |
12 | 代码问题 | 1 | 0.19% |
13 | 安全特征问题 | 1 | 0.19% |
14 | 资源管理错误 | 1 | 0.19% |
15 | 权限许可和访问控制问题 | 1 | 0.19% |
16 | 信息泄露 | 1 | 0.19% |
17 | 其他 | 439 | 81.75% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞 34 个,高危漏洞 92 个,中危漏洞 403 个, 低危漏洞 8 个。相应修复率分别为 73.53%、70.65%、75.43%和 75.00%。 根据补丁信息统计,合计 400 个漏洞已有修复补丁发布,整体修复率
为 74.49%。详细情况如表 3 所示。
表 3 漏洞危害等级与修复情况
序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
1 | 超危 | 34 | 25 | 73.53% |
2 | 高危 | 92 | 65 | 70.65% |
3 | 中危 | 403 | 304 | 75.43% |
4 | 低危 | 8 | 6 | 75.00% |
合计 | 537 | 400 | 74.49% | |
(四) 本周重要漏洞实例
本周重要漏洞实例如表 4 所示。
表 4 本期重要漏洞实例
序 号 | 漏洞 | 漏洞编号 | 厂商 | 漏洞实例 | 是否 修复 | 危害 等级 |
类型 | ||||||
1 |
其他 |
CNNVD-202405-4744 |
WordPress 基金会 | WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 安全漏洞 |
是 |
超危 |
2 | 其他 | CNNVD-202405-4979 | 谷歌 | Google Chrome 安全漏洞 | 是 | 高危 |
3 |
信任管 理问题 |
CNNVD-202405-5015 |
IBM | IBM Security Verify Access Docker 信任管 理问题漏洞 |
是 |
高危 |
1. WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 安全漏洞(CNNVD-202405-4744)
WordPress 和WordPress plugin 都是 WordPress 基金会的产品。 WordPress 是一套使用 PHP 语言开发的博客平台。该平台支持在 PHP 和MySQL 的服务器上架设个人博客网站。 WordPress plugin 是一个 应用插件。
WordPress plugin WP STAGING WordPress Backup Plugin – Migration Backup Restore 3.4.3 版本及之前版本存在安全漏洞,该漏洞源于缺少对文件类型的验证。攻击者利用该漏洞可以上传任意 文件从而远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/threat-intel/vulnerabilities/ id/8ebb1072-ea05-4914-961d-0d8f20248078?source=cve
2. Google Chrome 安全漏洞(CNNVD-202405-4979)
Google Chrome 是美国谷歌(Google) 公司的一款 Web 浏览器。
Google Chrome 125.0.6422.141 之前版本存在安全漏洞,该漏 洞源于允许越界访问内存。远程攻击者利用该漏洞通过特制的HTML 页面可导致堆损坏。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://chromereleases.googleblog.com/2024/05/stable-ch annel-update-for-desktop_30.html
3. IBM Security Verify Access Docker 信任管理问题漏洞
(CNNVD-202405-5015)
IBM Security Verify Access Docker 是美国国际商业机器(IBM) 公司的一款可用于为 Docker 配置 Security Verify Access 环境的服 务。
IBM Security Verify Access Docker 10.0.0 版本至 10.0.6 版 本存在信任管理问题漏洞,该漏洞源于对证书验证不当。攻击者利用 该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7155356
二、漏洞平台推送情况
本周 CNNVD 接收漏洞平台推送漏洞 4326 个。
表 5 本周漏洞平台推送情况
序号 | 漏洞平台 | 漏洞总量 |
1 | 补天平台 | 4085 |
2 | 360 漏洞云 | 241 |
推送总计 | 4326 | |
三、接报漏洞情况
本周 CNNVD 接报漏洞 264 个, 其中信息技术产品漏洞(通用型漏
洞) 244 个,网络信息系统漏洞(事件型漏洞) 20 个。
表 6 本周漏洞报送情况
序号 | 报送单位 | 漏洞总量 |
1 | 成都创信华通信息技术有限公司 | 38 |
2 | 个人 | 27 |
3 | 北京天融信网络安全技术有限公司 | 21 |
4 | 河南东方云盾信息技术有限公司 | 12 |
5 | 北京容辉智信科技有限公司 | 11 |
6 | 杭州默安科技有限公司 | 10 |
7 | 中资网络信息安全科技有限公司 | 10 |
8 | 奇安信网神信息技术(北京)股份有限公司 | 9 |
9 | 北京安博通科技股份有限公司 | 8 |
10 | 三六零数字安全科技集团有限公司 | 8 |
11 | 零日信安(武汉市)技术有限责任公司 | 7 |
12 | 北京赛博昆仑科技有限公司 | 6 |
13 | 华为技术有限公司 | 6 |
14 | 南京共美科技有限公司 | 6 |
15 | 西安交大捷普网络科技有限公司 | 6 |
16 | 北京安信天行科技有限公司 | 5 |
17 | 西安四叶草信息技术有限公司 | 5 |
18 | 北京天地和兴科技有限公司 | 4 |
19 | 广州竞远安全技术股份有限公司 | 4 |
20 | 北京天防安全科技有限公司 | 3 |
21 | 成都数默科技有限公司 | 3 |
22 | 河南灵创电子科技有限公司 | 3 |
23 | 江苏嘉恩网络安全科技有限公司 | 3 |
24 | 内蒙古服安科技有限公司 | 3 |
25 | 山西轩辕信息安全技术有限公司 | 3 |
26 | 上海匡创信息技术有限公司 | 3 |
27 | 途耀信息技术(上海)有限公司 | 3 |
28 | 北京雪诺科技有限公司 | 2 |
29 | 国网宁夏电科院 | 2 |
30 | 江西神舟信息安全评估中心有限公司 | 2 |
31 | 赛尔网络有限公司 | 2 |
32 | 上海安般信息科技有限公司 | 2 |
33 | 四川溯蓉信创科技有限公司 | 2 |
34 | 苏州棱镜七彩信息科技有限公司 | 2 |
35 | 浙江同济科技职业学院 | 2 |
36 | 北京安天网络安全技术有限公司 | 1 |
37 | 北京华云安信息技术有限公司 | 1 |
38 | 北京威努特技术有限公司 | 1 |
39 | 北京有略安全技术有限公司 | 1 |
40 | 北京长亭科技有限公司 | 1 |
41 | 福建银数信息技术有限公司 | 1 |
42 | 杭州海康威视数字技术股份有限公司 | 1 |
43 | 恒安嘉新(北京)科技股份公司 | 1 |
44 | 淮安易云科技有限公司 | 1 |
45 | 江苏嘉玖信息科技有限公司 | 1 |
46 | 京东科技信息技术有限公司 | 1 |
47 | 马鞍山书拓安全科技有限公司 | 1 |
48 | 南京聚铭网络科技有限公司 | 1 |
49 | 内蒙古数字安全科技有限公司 | 1 |
50 | 山东云天安全技术有限公司 | 1 |
51 | 上海谋乐网络科技有限公司 | 1 |
52 | 深信服科技股份有限公司 | 1 |
53 | 天津市兴先道科技有限公司 | 1 |
54 | 云上广济(贵州)信息技术有限公司 | 1 |
55 | 中电信数智科技有限公司 | 1 |
56 | 中科信息安全共性技术国家工程研究中心有限 公司 | 1 |
报送总计 | 264 | |
四、收录漏洞通报情况
本周 CNNVD 收录漏洞通报 68 份。
表 7 本周漏洞通报情况
序号 | 报送单位 | 通报总量 |
1 | 中孚安全技术有限公司 | 11 |
2 | 南京禾盾信息科技有限公司 | 10 |
3 | 安全邦(北京)信息技术有限公司 | 5 |
4 | 内蒙古数字安全科技有限公司 | 5 |
5 | 浙江大华技术股份有限公司 | 5 |
6 | 河南东方云盾信息技术有限公司 | 4 |
7 | 北京安天网络安全技术有限公司 | 3 |
8 | 河南天祺信息安全技术有限公司 | 3 |
9 | 江西和尔惠信息技术有限公司 | 3 |
10 | 马鞍山书拓安全科技有限公司 | 3 |
11 | 内蒙古御网科技有限责任公司 | 3 |
12 | 北京触点互动信息技术有限公司 | 2 |
13 | 奇安信网神信息技术(北京)股份有限公司 | 2 |
14 | 安徽三实软件科技有限公司 | 1 |
15 | 北京网藤科技有限公司 | 1 |
16 | 北京长亭科技有限公司 | 1 |
17 | 超聚变数字技术有限公司 | 1 |
18 | 华为技术有限公司 | 1 |
19 | 天津市兴先道科技有限公司 | 1 |
20 | 永信至诚科技集团股份有限公司 | 1 |
21 | 浙江极安信息科技有限公司 | 1 |
22 | 中国信息安全测评中心华中测评中心(湖南省信息安全测评中心) | 1 |
收录总计 | 68 | |