信息安全漏洞周报(2024年第42期)
2024-10-16 23:57:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

点击蓝字 关注我们

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2024年10月7日至2024年10月13日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞766个。
接报漏洞情况
本周CNNVD接报漏洞13672个,其中信息技术产品漏洞(通用型漏洞)195个,网络信息系统漏洞(事件型漏洞)81个,漏洞平台推送漏洞13396个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞766个,漏洞新增数量有所上升。从厂商分布来看微软公司新增漏洞最多,有118个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到8.62%。新增漏洞中,超危漏洞28个,高危漏洞260个,中危漏洞444个,低危漏洞34个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞766个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,微软公司新增漏洞最多,有118个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
微软
118
15.40%
2
WordPress基金会
90
11.75%
3
Adobe
53
6.92%
4
西门子
28
3.66%
5
Juniper Networks
28
3.66%

本周国内厂商漏洞83个,友讯公司漏洞数量最多,有25个。国内厂商漏洞整体修复率为51.19%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到8.62%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
66
8.62%
2
缓冲区错误
38
4.96%
3
代码问题
35
4.57%
4
资源管理错误
31
4.05%
5
SQL注入
28
3.66%
6
输入验证错误
13
1.70%
7
信息泄露
13
1.70%
8
访问控制错误
12
1.57%
9
授权问题
10
1.31%
10
路径遍历
9
1.17%
11
命令注入
6
0.78%
12
后置链接
6
0.78%
13
数据伪造问题
4
0.52%
14
代码注入
3
0.39%
15
日志信息泄露
2
0.26%
16
操作系统命令注入
2
0.26%
17
跨站请求伪造
2
0.26%
18
信任管理问题
1
0.13%
19
竞争条件问题
1
0.13%
20
权限许可和访问控制问题
1
0.13%
21
数字错误
1
0.13%
22
格式化字符串错误
1
0.13%
23
参数注入
1
0.13%
24
环境问题
1
0.13%
25
其他
479
62.53%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞28个,高危漏洞260个,中危漏洞444个,低危漏洞34个。相应修复率分别为85.71%、90.00%、79.50%和82.35%。根据补丁信息统计,合计639个漏洞已有修复补丁发布,整体修复率为83.42%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
28
24
85.71%
2
高危
260
234
90.00%
3
中危
444
353
79.50%
4
低危
34
28
82.35%
合计
766
639
83.42%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202410-640
超危
2
CNNVD-202410-869
高危
3
CNNVD-202410-841
高危

1.WordPress plugin LatePoint SQL注入漏洞(CNNVD-202410-640)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin LatePoint 5.0.11版本及之前版本存在SQL注入漏洞,该漏洞源于对用户提供的参数转义不足以及对现有SQL查询缺乏验证。攻击者利用该漏洞可以更改用户密码并可能接管管理员帐户。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/5c9a23a3-5eb5-4f5b-bf32-c9d163426f29?source=cve

2.Adobe Dimension 资源管理错误漏洞(CNNVD-202410-869)

Adobe Dimension是美国奥多比(Adobe)公司的是一套2D和3D合成设计工具。

Adobe Dimension 4.0.3版本及之前版本存在资源管理错误漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以在当前用户环境中执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/dimension/apsb24-74.html

3.Microsoft BranchCache 资源管理错误漏洞(CNNVD-202410-841)

Microsoft BranchCache是美国微软(Microsoft)公司的一项广域网 (WAN) 带宽优化技术,可以从总部或云内容服务器复制内容,并将内容缓存在分支机构位置,使分支机构的客户端计算机可以从本地访问内容。

Microsoft BranchCache存在资源管理错误漏洞,该漏洞源于资源消耗不受控制。攻击者利用该漏洞可以导致系统拒绝服务。以下产品和版本受到影响:Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 11 version 21H2 for x64-based Systems,Windows 11 version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38149

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞13396个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
补天平台
8580
2
漏洞盒子
3526
3
360漏洞云
1290
推送总计
13396

接报漏洞情况

本周CNNVD接报漏洞276个,其中信息技术产品漏洞(通用型漏洞)195个,网络信息系统漏洞(事件型漏洞)81个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
内蒙古旌云科技有限公司
44
2
个人
33
3
星云博创科技有限公司
20
4
苏州如意云网络科技有限公司
9
5
浙江大华技术股份有限公司
8
6
北京安天网络安全技术有限公司
7
7
北京天融信网络安全技术有限公司
6
8
南京赛宁信息技术有限公司
6
9
深信服科技股份有限公司
6
10
中孚安全技术有限公司
6
11
北京华云安信息技术有限公司
5
12
北京长亭科技有限公司
5
13
广州理是科技有限公司
5
14
广州纬安科技有限公司
5
15
河南灵创电子科技有限公司
5
16
上海斗象信息科技有限公司
5
17
北京卓识网安技术股份有限公司
4
18
广州竞远安全技术股份有限公司
4
19
任子行网络技术股份有限公司
4
20
上海壹安至行技术有限公司
4
21
中兴通讯股份有限公司
4
22
北京航空航天大学
3
23
北京源堡科技有限公司
3
24
河南东方云盾信息技术有限公司
3
25
锐捷网络股份有限公司
3
26
上海谋乐网络科技有限公司
3
27
数字新时代(山东)数据科技服务有限公司
3
28
四川诚安数科信息科技有限公司
3
29
苏州棱镜七彩信息科技有限公司
3
30
中资网络信息安全科技有限公司
3
31
安恒愿景(成都)信息科技有限公司
2
32
北方实验室(沈阳)股份有限公司
2
33
北京安普诺信息技术有限公司
2
34
北京边界无限科技有限公司
2
35
北京知其安科技有限公司
2
36
成都思维世纪科技有限责任公司
2
37
广东省信息安全测评中心
2
38
杭州海康威视数字技术股份有限公司
2
39
内蒙古御网科技有限责任公司
2
40
奇安信网神信息技术(北京)股份有限公司
2
41
天地伟业技术有限公司
2
42
天津市兴先道科技有限公司
2
43
西藏熙安信息技术有限责任公司
2
44
长扬科技(北京)股份有限公司
2
45
中移系统集成有限公司
2
46
安徽溯源电子科技有限公司
1
47
北京比瓴科技有限公司
1
48
北京金睛云华科技有限公司
1
49
北京云科安信科技有限公司
1
50
成都网域探行科技有限公司
1
51
成都忆享科技有限公司
1
52
福建银数信息技术有限公司
1
53
杭州安恒信息技术股份有限公司
1
54
合肥天帷信息安全技术有限公司
1
55
河南悦海数安科技有限公司
1
56
湖南中测网安信息技术有限公司
1
57
华为技术有限公司
1
58
江苏嘉恩网络安全科技有限公司
1
59
内蒙古启正信息科技有限公司
1
60
宁夏凯信特信息科技有限公司
1
61
塞讯信息技术(上海)有限公司
1
62
赛尔网络有限公司
1
63
上海无息科技有限公司
1
64
深圳建安润星安全技术有限公司
1
65
苏州亿阳值通科技发展股份有限公司
1
66
天翼数智科技(北京)有限公司
1
67
途耀信息技术(上海)有限公司
1
68
浙江木链物联网科技有限公司
1
69
郑州云智信安安全技术有限公司
1
报送总计
276

收录漏洞通报情况

本周CNNVD收录漏洞通报113份。

表7本周漏洞通报情况
序号
报送单位
通报总量
1
中孚安全技术有限公司
15
2
安恒愿景(成都)信息科技有限公司
9
3
北京卓识网安技术股份有限公司
6
4
北京天地和兴科技有限公司
5
5
北京云起无垠科技有限公司
5
6
西安交大捷普网络科技有限公司
5
7
北京国御科技有限公司
4
8
华为技术有限公司
4
9
联通数字科技有限公司
4
10
深信服科技股份有限公司
4
11
北京比瓴科技有限公司
3
12
内蒙古启正信息科技有限公司
3
13
深圳万物安全科技有限公司
3
14
浙江大华技术股份有限公司
3
15
成都久信信息技术股份有限公司
2
16
广东省信息安全测评中心
2
17
广州纬安科技有限公司
2
18
杭州美创科技股份有限公司
2
19
深圳建安润星安全技术有限公司
2
20
中国移动通信集团海南有限公司
2
21
北京安普诺信息技术有限公司
1
22
北京华云安信息技术有限公司
1
23
北京神州绿盟科技有限公司
1
24
北京世纪超星信息技术发展有限责任公司
1
25
北京天防安全科技有限公司
1
26
北京天融信网络安全技术有限公司
1
27
北京长亭科技有限公司
1
28
北京中科卓信软件测评技术中心
1
29
博智安全科技股份有限公司
1
30
成都网域探行科技有限公司
1
31
杭州安恒信息技术股份有限公司
1
32
杭州海康威视数字技术股份有限公司
1
33
杭州默安科技有限公司
1
34
合肥天帷信息安全技术有限公司
1
35
河南灵创电子科技有限公司
1
36
江苏保旺达软件技术有限公司
1
37
江苏嘉恩网络安全科技有限公司
1
38
墨菲未来科技(北京)有限公司
1
39
内蒙古旌云科技有限公司
1
40
奇安信网神信息技术(北京)股份有限公司
1
41
锐捷网络股份有限公司
1
42
上海谋乐网络科技有限公司
1
43
上海矢安科技有限公司
1
44
数字新时代(山东)数据科技服务有限公司
1
45
苏州市莫张信息科技有限责任公司
1
46
云南南天电子信息产业股份有限公司
1
47
云上广济(贵州)信息技术有限公司
1
48
浙江木链物联网科技有限公司
1
收录总计
113

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457530&idx=1&sn=3da3b79bfa7a366f8084409e17bd272a&chksm=802c46d2b75bcfc44d6fe434265ebe3b42e6f77127ec2f9942022a8b80336d93424895cb440c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh