信息安全漏洞周报(2024年第45期 )
2024-11-7 22:29:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年10月28日至2024年11月3日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞830个。
接报漏洞情况
本周CNNVD接报漏洞13643个,其中信息技术产品漏洞(通用型漏洞)321个,网络信息系统漏洞(事件型漏洞)107个,漏洞平台推送漏洞13215个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞830个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有360个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到13.61%。新增漏洞中,超危漏洞73个,高危漏洞175个,中危漏洞561个,低危漏洞21个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞830个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有360个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
360
43.37%
2
苹果
78
9.40%
3
Linux基金会
22
2.65%
4
Autodesk
22
2.65%
5
居易
18
2.17%

本周国内厂商漏洞78个,居易公司漏洞数量最多,有18个。国内厂商漏洞整体修复率为28.21%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到13.61%。漏洞类型统计如表2所示。

表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
113
13.61%
2
SQL注入
62
7.47%
3
代码问题
16
1.93%
4
跨站请求伪造
12
1.45%
5
代码注入
6
0.72%
6
访问控制错误
6
0.72%
7
路径遍历
6
0.72%
8
信息泄露
5
0.60%
9
授权问题
4
0.48%
10
信任管理问题
3
0.36%
11
资源管理错误
2
0.24%
12
操作系统命令注入
2
0.24%
13
输入验证错误
2
0.24%
14
加密问题
1
0.12%
15
缓冲区错误
1
0.12%
16
日志信息泄露
1
0.12%
17
命令注入
1
0.12%
18
数据伪造问题
1
0.12%
19
其他
586
70.60%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞73个,高危漏洞175个,中危漏洞561个,低危漏洞21个。相应修复率分别为54.79%、65.14%、77.54%和76.19%。根据补丁信息统计,合计605个漏洞已有修复补丁发布,整体修复率为72.89%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
73
40
54.79%
2
高危
175
114
65.14%
3
中危
561
435
77.54%
4
低危
21
16
76.19%
合计
830
605
72.89%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202410-3529
超危
2
CNNVD-202410-3386
高危
3
CNNVD-202410-3319
高危

1. WordPress plugin AI Power: Complete AI Pack 代码问题漏洞(CNNVD-202410-3529)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin AI Power: Complete AI Pack 1.8.89版本及之前版本存在代码问题漏洞,该漏洞源于handle_image_upload函数缺少文件类型验证。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

id/cd8a45c9-ca48-4ea6-b34e-f05206f16155?source=cve

2. Google Chrome 安全漏洞(CNNVD-202410-3386)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。

Google Chrome 130.0.6723.92之前版本存在安全漏洞,该漏洞源于允许越界写入内存。攻击者利用该漏洞可以越界访问内存。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_29.html

3. Mozilla Firefox和Mozilla Thunderbird 安全漏洞(CNNVD-202410-3319)

Mozilla Firefox和Mozilla Thunderbird都是美国Mozilla基金会的产品。Mozilla Firefox是一款开源Web浏览器。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件,该软件支持IMAP、POP邮件协议以及HTML邮件格式。

Mozilla Firefox 132之前版本和Mozilla Thunderbird 132之前版本存在安全漏洞,该漏洞源于存在内存损坏问题。攻击者利用该漏洞可以运行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.mozilla.org/en-US/security/advisories/mfsa2

024-55/


漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞13215个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
11052
2
360漏洞云
1189
3
补天平台
974
推送总计
13215


接报漏洞情况

本周CNNVD接报漏洞428个,其中信息技术产品漏洞(通用型漏洞)321个,网络信息系统漏洞(事件型漏洞)107个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
个人
71
2
杭州戎戍网络安全技术有限公司
22
3
北京华顺信安信息技术有限公司
21
4
深信服科技股份有限公司
20
5
奇安信网神信息技术(北京)股份有限公司
18
6
广州非凡信息安全技术有限公司
16
7
华为技术有限公司
13
8
北京江南天安科技有限公司
13
9
内蒙古洞明科技有限公司
11
10
上海谋乐网络科技有限公司
11
11
超聚变数字技术有限公司
10
12
苏州棱镜七彩信息科技有限公司
10
13
河南东方云盾信息技术有限公司
10
14
广州纬安科技有限公司
9
15
安恒愿景(成都)信息科技有限公司
8
16
云南启安科技有限公司
8
17
北京世纪超星信息技术发展有限责任公司
7
18
北京天融信网络安全技术有限公司
7
19
杭州迪普科技股份有限公司
6
20
北京国御科技有限公司
6
21
上海云盾信息技术有限公司
6
22
北京华云安信息技术有限公司
5
23
浙江国利网安科技有限公司
5
24
卫士通(广州)信息安全技术有限公司
5
25
成都安美勤信息技术股份有限公司
5
26
河南灵创电子科技有限公司
5
27
博智安全科技股份有限公司
4
28
北京安天网络安全技术有限公司
4
29
北京启明星辰信息安全技术有限公司
4
30
广州竞远安全技术股份有限公司
4
31
上海斗象信息科技有限公司
4
32
北京知道创宇信息技术股份有限公司
4
33
北京边界无限科技有限公司
4
34
上海雾见安全科技有限公司
3
35
南京赛宁信息技术有限公司
3
36
中资网络信息安全科技有限公司
3
37
天地伟业技术有限公司
3
38
远江盛邦(北京)网络安全科技股份有限公司
3
39
成都卫士通信息安全技术有限公司
3
40
途耀信息技术(上海)有限公司
3
41
北京安普诺信息技术有限公司
3
42
北京君云天下科技有限公司
2
43
温州市数据集团有限公司
2
44
苏州亿阳值通科技发展股份有限公司
2
45
北京中睿天下信息技术有限公司
2
46
北京威努特技术有限公司
2
47
北京长亭科技有限公司
2
48
任子行网络技术股份有限公司
2
49
中兴通讯股份有限公司
2
50
上海上讯信息技术股份有限公司
2
51
长扬科技(北京)股份有限公司
2
52
浪潮电子信息产业股份有限公司
2
53
天津市兴先道科技有限公司
2
54
北京卓识网安技术股份有限公司
2
55
深圳昂楷科技有限公司
2
56
零日信安(武汉市)技术有限责任公司
1
57
安全邦(北京)信息技术有限公司
1
58
内蒙古万邦信息安全技术有限公司
1
59
中国电信股份有限公司网络安全产品运营中心
1
60
北京信联数安科技有限公司
1
61
广西网信信息技术有限公司
1
62
三六零数字安全科技集团有限公司
1
63
内蒙古中叶信息技术有限责任公司
1
64
北京金睛云华科技有限公司
1
65
东方电气中能工控网络安全技术(成都)有限责任公司
1
66
上海戎磐网络科技有限公司
1
67
重庆嘉天琪科技有限公司
1
68
北京雪诺科技有限公司
1
69
北京神州绿盟科技有限公司
1
70
杭州中电安科现代科技有限公司
1
71
福建银数信息技术有限公司
1
72
赛尔网络有限公司
1
73
北京源堡科技有限公司
1
74
广州松杨云创科技有限公司
1
75
新华三技术有限公司
1
报送总计
428

收录漏洞通报情况

本周CNNVD收录漏洞通报100份。

表7 本周漏洞通报情况
序号
报送单位
通报总量
1
中孚安全技术有限公司
16
2
安恒愿景(成都)信息科技有限公司
11
3
深信服科技股份有限公司
6
4
华为技术有限公司
6
5
奇安信网神信息技术(北京)股份有限公司
4
6
福建银数信息技术有限公司
4
7
山西轩辕信息安全技术有限公司
3
8
内蒙古中叶信息技术有限责任公司
3
9
天地伟业技术有限公司
2
10
信元网络技术股份有限公司
2
11
杭州迪普科技股份有限公司
2
12
内蒙古洞明科技有限公司
2
13
北京安天网络安全技术有限公司
2
14
河南灵创电子科技有限公司
2
15
浙江大华技术股份有限公司
2
16
西安交大捷普网络科技有限公司
2
17
成都安美勤信息技术股份有限公司
2
18
杭州安恒信息技术股份有限公司
2
19
云上广济(贵州)信息技术有限公司
2
20
北京神州绿盟科技有限公司
2
21
北京华云安信息技术有限公司
2
22
江苏嘉玖信息科技有限公司
2
23
江苏保旺达软件技术有限公司
2
24
河南东方云盾信息技术有限公司
1
25
新基信息技术集团股份有限公司
1
26
中电信数智科技有限公司
1
27
数字新时代(山东)数据科技服务有限公司
1
28
北京墨云科技有限公司
1
29
北京天融信网络安全技术有限公司
1
30
北京山石网科信息技术有限公司
1
31
超聚变数字技术有限公司
1
32
北京天防安全科技有限公司
1
33
北京金睛云华科技有限公司
1
34
敦和安全科技(武汉)有限公司
1
35
北京华顺信安信息技术有限公司
1
36
途耀信息技术(上海)有限公司
1
37
北京赛博昆仑科技有限公司
1
38
维安(山东)数字技术有限公司
1
39
北京知道创宇信息技术股份有限公司
1
40
北京微步在线科技有限公司
1
收录总计
100

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457825&idx=1&sn=cb3369a361ca0c7d43daad47df7de4f3&chksm=802c4809b75bc11fbc86f2fb9e657d935be2d4ff33edea125853f81f93ac758c86a515f7dd00&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh