信息安全漏洞周报(2024年第46期)
2024-11-13 16:24:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月4日至2024年11月10日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞907个。
接报漏洞情况
本周CNNVD接报漏洞5460个,其中信息技术产品漏洞(通用型漏洞)374个,网络信息系统漏洞(事件型漏洞)371个,漏洞平台推送漏洞4715个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞907个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有214个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到15.21%。新增漏洞中,超危漏洞55个,高危漏洞151个,中危漏洞676个,低危漏洞25个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞907个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有214个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
214
23.59%
2
Linux基金会
175
19.29%
3
NETGEAR
47
5.18%
4
思科
25
2.76%
5
高通
22
2.43%

本周国内厂商漏洞84个,华为公司漏洞数量最多,有21个。国内厂商漏洞整体修复率为66.67%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到15.21%。漏洞类型统计如表2所示。

表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
138
15.21%
2
SQL注入
27
2.98%
3
代码问题
24
2.65%
4
注入
23
2.54%
5
信息泄露
14
1.54%
6
路径遍历
11
1.21%
7
授权问题
9
0.99%
8
代码注入
7
0.77%
9
访问控制错误
6
0.66%
10
输入验证错误
5
0.55%
11
跨站请求伪造
5
0.55%
12
命令注入
4
0.44%
13
缓冲区错误
4
0.44%
14
资源管理错误
3
0.33%
15
操作系统命令注入
3
0.33%
16
日志信息泄露
3
0.33%
17
数据伪造问题
1
0.11%
18
权限许可和访问控制问题
1
0.11%
19
其他
619
68.25%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞55个,高危漏洞151个,中危漏洞676个,低危漏洞25个。相应修复率分别为72.73%、70.86%、74.41%和68.00%。根据补丁信息统计,合计667个漏洞已有修复补丁发布,整体修复率为73.54%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
55
40
72.73%
2
高危
151
107
70.86%
3
中危
676
503
74.41%
4
低危
25
17
68.00%
合计
907
667
73.54%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202411-675
超危
2
CNNVD-202411-671
高危
3
CNNVD-202411-961
高危

1. Cisco Unified Industrial Wireless Software 命令注入漏洞(CNNVD-202411-675)

Cisco Unified Industrial Wireless Software是美国思科(Cisco)公司的专为工业环境设计的无线软件,它支持高可用性、低延迟和零数据包丢失,适用于移动机器和其他资产的无线连接。

Cisco Unified Industrial Wireless Software存在命令注入漏洞,该漏洞源于对基于Web的管理界面的输入验证不当。攻击者利用该漏洞能以root权限对底层操作系统执行命令注入攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-backhaul-ap-cmdinj-R7E28Ecs

2. Google Chrome 资源管理错误漏洞(CNNVD-202411-671)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 130.0.6723.116之前版本存在安全漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以通过特制的HTML页面导致堆损坏。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://chromereleases.googleblog.com/2024/11/stable-channel-update-for-desktop.html

3. WordPress plugin Top Store 安全漏洞(CNNVD-202411-961)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Top Store 1.5.4版本及之前版本存在安全漏洞,该漏洞源于缺少对函数的功能检查。攻击者利用该漏洞可以提升权限并远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

id/80510ade-cb58-45b3-89f2-2cbbc5640cae?source=cve


漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞4715个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
漏洞盒子
4364
2
360漏洞云
184
3
补天平台
167
推送总计
4715


接报漏洞情况

本周CNNVD接报漏洞745个,其中信息技术产品漏洞(通用型漏洞)374个,网络信息系统漏洞(事件型漏洞)371个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
内蒙古奥创科技有限公司
278
2
个人
69
3
内蒙古旌云科技有限公司
67
4
宁波和利时信息安全研究院有限公司
50
5
广州非凡信息安全技术有限公司
22
6
北京华顺信安信息技术有限公司
20
7
北京天融信网络安全技术有限公司
14
8
北京启明星辰信息安全技术有限公司
14
9
上海谋乐网络科技有限公司
13
10
天地伟业技术有限公司
12
11
北京华云安信息技术有限公司
10
12
北京浩瀚深度信息技术股份有限公司
8
13
北京江南天安科技有限公司
8
14
华为技术有限公司
8
15
北京网御星云信息技术有限公司
8
16
北京安帝科技有限公司
7
17
北京安信天行科技有限公司
6
18
北京水木羽林科技有限公司
6
19
三六零数字安全科技集团有限公司
5
20
上海斗象信息科技有限公司
5
21
广州纬安科技有限公司
5
22
南京众智维信息科技有限公司
5
23
奇安信网神信息技术(北京)股份有限公司
4
24
上海云盾信息技术有限公司
4
25
工业和信息化部电子第五研究所
4
26
北京卓识网安技术股份有限公司
4
27
广州竞远安全技术股份有限公司
4
28
上海矢安科技有限公司
4
29
天津市兴先道科技有限公司
4
30
甘肃赛飞安全科技有限公司
3
31
网宿科技股份有限公司
3
32
深圳市深信服信息安全有限公司
3
33
安恒愿景(成都)信息科技有限公司
3
34
河南灵创电子科技有限公司
3
35
杭州安恒信息技术股份有限公司
3
36
中资网络信息安全科技有限公司
3
37
北京神州绿盟科技有限公司
3
38
北京触点互动信息技术有限公司
3
39
北京金睛云华科技有限公司
2
40
江苏通付盾信息安全技术有限公司
2
41
北京天防安全科技有限公司
2
42
中科方德软件有限公司
2
43
河南东方云盾信息技术有限公司
2
44
温州市数据集团有限公司
2
45
杭州戎戍网络安全技术有限公司
2
46
数字新时代(山东)数据科技服务有限公司
2
47
杭州美创科技股份有限公司
2
48
维安(山东)数字技术有限公司
2
49
北京威努特技术有限公司
2
50
浙江大华技术股份有限公司
2
51
上海计算机软件技术开发中心
2
52
北京长亭科技有限公司
2
53
卫士通(广州)信息安全技术有限公司
2
54
上海戎磐网络科技有限公司
1
55
上海雾见安全科技有限公司
1
56
内蒙古洞明科技有限公司
1
57
合肥天帷信息安全技术有限公司
1
58
北京珞安科技有限责任公司
1
59
南京赛宁信息技术有限公司
1
60
湖南网鼎科技有限公司
1
61
北京时代新威信息技术有限公司
1
62
中兴通讯股份有限公司
1
63
杭州海康威视数字技术股份有限公司
1
64
苏州如意云网络科技有限公司
1
65
长扬科技(北京)股份有限公司
1
66
途耀信息技术(上海)有限公司
1
67
深信服科技股份有限公司
1
68
重庆嘉天琪科技有限公司
1
69
锐捷网络股份有限公司
1
70
北京墨云科技有限公司
1
71
北京天下信安技术有限公司
1
72
浙江极安信息科技有限公司
1
73
北京君云天下科技有限公司
1
报送总计
745

收录漏洞通报情况

本周CNNVD收录漏洞通报101份。

表7 本周漏洞通报情况

序号
报送单位
通报总量
1
中孚安全技术有限公司
8
2
杭州迪普科技股份有限公司
8
3
西安交大捷普网络科技有限公司
7
4
安恒愿景(成都)信息科技有限公司
7
5
北京网御星云信息技术有限公司
6
6
深信服科技股份有限公司
5
7
中电信数智科技有限公司
4
8
江苏保旺达软件技术有限公司
3
9
浙江大华技术股份有限公司
3
10
华为技术有限公司
3
11
江西中和证信息安全技术有限公司
3
12
北京浩瀚深度信息技术股份有限公司
3
13
网宿科技股份有限公司
3
14
奇安信网神信息技术(北京)股份有限公司
2
15
内蒙古洞明科技有限公司
2
16
天地伟业技术有限公司
2
17
厦门服云信息科技有限公司
2
18
杭州中电安科现代科技有限公司
2
19
北京华云安信息技术有限公司
2
20
江苏嘉玖信息科技有限公司
2
21
维安(山东)数字技术有限公司
2
22
新华三技术有限公司
2
23
中科方德软件有限公司
2
24
工业和信息化部电子第五研究所
2
25
成方金融信息技术服务有限公司
2
26
北京墨云科技有限公司
1
27
河南听潮盛世信息技术有限公司
1
28
成都卫士通信息安全技术有限公司
1
29
数字新时代(山东)数据科技服务有限公司
1
30
温州市数据集团有限公司
1
31
信元网络技术股份有限公司
1
32
深圳建安润星安全技术有限公司
1
33
杭州海康威视数字技术股份有限公司
1
34
敦和安全科技(武汉)有限公司
1
35
杭州安恒信息技术股份有限公司
1
36
河南省鼎信信息安全等级测评有限公司
1
37
北京安信天行科技有限公司
1
38
北京神州绿盟科技有限公司
1
39
南京众智维信息科技有限公司
1
收录总计
101

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457932&idx=1&sn=2cfd6b980c993ee4c03fa625942c56e2&chksm=802c48a4b75bc1b24e5f1018a5e07ee73bd96b8819a5bf2fa717ff86507fcd98921cfb41fc54&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh