信息安全漏洞周报(2024年第44期 )
2024-10-30 18:44:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年10月21日至2024年10月27日)安全漏洞情况如下:

公开漏洞情况

   本周CNNVD采集安全漏洞960个。

接报漏洞情况

   本周CNNVD接报漏洞5120个,其中信息技术产品漏洞(通用型漏洞)221个,网络信息系统漏洞(事件型漏洞)28个,漏洞平台推送漏洞4871个。

重大漏洞通报

   Fortinet FortiManager访问控制错误漏洞(CNNVD-202410-2613、CVE-2024-47575):攻击者可以通过构造恶意请求绕过身份认证,在目标设备执行任意命令。FortiManager多个版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞960个,漏洞新增数量有所上升。从厂商分布来看Linux基金会新增漏洞最多,有383个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到7.50%。新增漏洞中,超危漏洞60个,高危漏洞166个,中危漏洞719个,低危漏洞15个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞960个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Linux基金会新增漏洞最多,有383个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称
漏洞数量(个)
所占比例
1
Linux基金会
383
39.90%
2
WordPress基金会
106
11.04%
3
思科
52
5.42%
4
谷歌
31
3.23%
5
Mitel
15
1.56%

本周国内厂商漏洞40个,亿赛通公司漏洞数量最多,有8个。国内厂商漏洞整体修复率为42.50%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到7.50%。漏洞类型统计如表2所示。

表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
72
7.50%
2
SQL注入
59
6.15%
3
代码问题
33
3.44%
4
资源管理错误
16
1.67%
5
输入验证错误
11
1.15%
6
访问控制错误
11
1.15%
7
信息泄露
10
1.04%
8
缓冲区错误
10
1.04%
9
跨站请求伪造
9
0.94%
10
授权问题
9
0.94%
11
路径遍历
8
0.83%
12
命令注入
6
0.62%
13
代码注入
5
0.52%
14
竞争条件问题
3
0.31%
15
注入
3
0.31%
16
操作系统命令注入
3
0.31%
17
日志信息泄露
1
0.10%
18
信任管理问题
1
0.10%
19
格式化字符串错误
1
0.10%
20
数字错误
1
0.10%
21
数据伪造问题
1
0.10%
22
其他
687
71.56%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞60个,高危漏洞166个,中危漏洞719个,低危漏洞15个。相应修复率分别为66.67%、81.33%、82.06%和60.00%。根据补丁信息统计,合计774个漏洞已有修复补丁发布,整体修复率为80.62%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
60
40
66.67%
2
高危
166
135
81.33%
3
中危
719
590
82.06%
4
低危
15
9
60.00%
合计
960
774
80.62%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202410-2670
超危
2
CNNVD-202410-2868
高危
3
CNNVD-202410-2092
高危

1. Cisco Adaptive Security Appliance 安全漏洞(CNNVD-202410-2670)

Cisco Adaptive Security Appliance是美国思科(Cisco)公司的一个网络设备。用于保护各种规模的公司网络和数据中心。

Cisco Adaptive Security Appliance存在安全漏洞,该漏洞源于对用户输入的验证不足。攻击者利用该漏洞可以以root身份执行操作系统命令。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssh-rce-gRAuPEUF

2. Google Pixel 安全漏洞(CNNVD-202410-2868)

Google Pixel是美国谷歌(Google)公司的一款智能手机。

Google Pixel存在安全漏洞,该漏洞源于在lib/sm/shared_mem.c的sm_mem_compat_get_vmm_obj函数中发现对用户的输入验证不当。攻击者利用该漏洞可以访问任意物理内存。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://source.android.com/security/bulletin/pixel/2024-10-01

3. WordPress plugin Automation By Autonami SQL注入漏洞(CNNVD-202410-2092)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Automation By Autonami 3.1.2版本及之前版本存在SQL注入漏洞,该漏洞源于对参数转义不足以及对现有SQL查询准备不足。攻击者利用该漏洞可以从数据库中提取敏感信息。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

wordpress-plugins/wp-marketing-automations/automation-by-au

tonami-312-authenticated-administrator-sql-injection


漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞4871个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
4169
2
补天平台
481
3
360漏洞云
221
推送总计
4871

接报漏洞情况

本周CNNVD接报漏洞249个,其中信息技术产品漏洞(通用型漏洞)221个,网络信息系统漏洞(事件型漏洞)28个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
个人
38
2
广州纬安科技有限公司
18
3
华为技术有限公司
18
4
云南启安科技有限公司
14
5
中国电信股份有限公司网络安全产品运营中心
11
6
安恒愿景(成都)信息科技有限公司
7
7
北京天融信网络安全技术有限公司
7
8
内蒙古中叶信息技术有限责任公司
7
9
浙江国利网安科技有限公司
7
10
山石网科通信技术股份有限公司
6
11
北方实验室(沈阳)股份有限公司
5
12
北京世纪超星信息技术发展有限责任公司
5
13
成都卫士通信息安全技术有限公司
5
14
广州松杨云创科技有限公司
5
15
国网上海市电力公司电力科学研究院
5
16
河南灵创电子科技有限公司
5
17
上海谋乐网络科技有限公司
5
18
北京灰度科技有限公司
4
19
北京启明星辰信息安全技术有限公司
4
20
北京天防安全科技有限公司
4
21
北京威努特技术有限公司
4
22
广州竞远安全技术股份有限公司
4
23
河南东方云盾信息技术有限公司
4
24
联通数字科技有限公司
4
25
内蒙古启正信息科技有限公司
4
26
浙江大华技术股份有限公司
4
27
北京有略安全技术有限公司
3
28
远江盛邦(北京)网络安全科技股份有限公司
3
29
长扬科技(北京)股份有限公司
3
30
中资网络信息安全科技有限公司
3
31
成都网域探行科技有限公司
2
32
福建银数信息技术有限公司
2
33
湖南中测网安信息技术有限公司
2
34
内蒙古万邦信息安全技术有限公司
2
35
星舟有信(北京)信息技术有限公司
2
36
浙江木链物联网科技有限公司
2
37
北京安普诺信息技术有限公司
1
38
北京国科数安科技有限公司
1
39
北京华顺信安信息技术有限公司
1
40
北京金睛云华科技有限公司
1
41
北京君云天下科技有限公司
1
42
广西网信信息技术有限公司
1
43
杭州安恒信息技术股份有限公司
1
44
杭州海康威视数字技术股份有限公司
1
45
杭州戎戍网络安全技术有限公司
1
46
河南听潮盛世信息技术有限公司
1
47
京铁云智慧物流科技有限公司
1
48
九州安连(北京)科技有限公司
1
49
奇安信网神信息技术(北京)股份有限公司
1
50
塞讯信息技术(上海)有限公司
1
51
赛尔网络有限公司
1
52
深信服科技股份有限公司
1
53
天地伟业技术有限公司
1
54
途耀信息技术(上海)有限公司
1
55
新华三技术有限公司
1
56
中科方德软件有限公司
1
57
中兴通讯股份有限公司
1
报送总计
249

收录漏洞通报情况

本周CNNVD收录漏洞通报87份。

表7 本周漏洞通报情况
序号
报送单位
通报总量
1
中孚安全技术有限公司
11
2
安恒愿景(成都)信息科技有限公司
6
3
成都数默科技有限公司
6
4
北京灰度科技有限公司
5
5
深信服科技股份有限公司
5
6
北京国御科技有限公司
4
7
杭州安恒信息技术股份有限公司
4
8
杭州迪普科技股份有限公司
4
9
奇安信网神信息技术(北京)股份有限公司
3
10
中兴通讯股份有限公司
3
11
北京君云天下科技有限公司
2
12
成都安美勤信息技术股份有限公司
2
13
河南东方云盾信息技术有限公司
2
14
河南灵创电子科技有限公司
2
15
华为技术有限公司
2
16
江苏保旺达软件技术有限公司
2
17
江苏嘉玖信息科技有限公司
2
18
内蒙古中叶信息技术有限责任公司
2
19
浙江大华技术股份有限公司
2
20
浙江国利网安科技有限公司
2
21
北方实验室(沈阳)股份有限公司
1
22
北京山石网科信息技术有限公司
1
23
北京神州绿盟科技有限公司
1
24
北京时代新威信息技术有限公司
1
25
北京天融信网络安全技术有限公司
1
26
超聚变数字技术有限公司
1
27
成方金融信息技术服务有限公司
1
28
福建银数信息技术有限公司
1
29
广东省信息安全测评中心
1
30
广州纬安科技有限公司
1
31
杭州海康威视数字技术股份有限公司
1
32
京铁云智慧物流科技有限公司
1
33
数字新时代(山东)数据科技服务有限公司
1
34
维安(山东)数字技术有限公司
1
35
新华三技术有限公司
1
36
新基信息技术集团股份有限公司
1
收录总计
87

重大漏洞通报

CNNVD关于Fortinet FortiManager访问控制错误漏洞的通报

近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiManager访问控制错误漏洞(CNNVD-202410-2613、CVE-2024-47575)情况的报送。攻击者可以通过构造恶意请求绕过身份认证,在目标设备执行任意命令。FortiManager多个版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

1.漏洞介绍

Fortinet FortiManager是美国飞塔(Fortinet)公司的一套集中化网络安全管理平台。该平台支持集中管理任意数量的Fortinet设备,并能够将设备分组到不同的管理域(ADOM)进一步简化多设备安全部署与管理。Fortinet FortiManager存在访问控制错误漏洞,该漏洞源于缺少关键功能的身份验证,允许攻击者通过特制的请求执行任意代码或命令。

2.危害影响

FortiManager 7.6.0版本;FortiManager 7.4.0版本-7.4.4版本;FortiManager 7.2.0版本-7.2.7版本;FortiManager 7.0.0版本-7.0.12版本;FortiManager 6.4.0版本-6.4.14版本;FortiManager 6.2.0版本-6.2.12版本均受此漏洞影响。

3.修复建议

目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接如下:

https://fortiguard.fortinet.com/psirt/FG-IR-24-423


文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457696&idx=1&sn=2a81487399bcce1cead778a3010e3ac2&chksm=802c4988b75bc09ec80ea72bcb9bf61232d9b46c1377c042e67d18482417dcee5cf80d57fc4d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh