信息安全漏洞周报(2024年第41期 )
2024-10-11 00:52:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

点击蓝字 关注我们

漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2024年9月30日至2024年10月6日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞586个。
接报漏洞情况
本周CNNVD接报漏洞68个,其中信息技术产品漏洞(通用型漏洞)29个,网络信息系统漏洞(事件型漏洞)39个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞586个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有217个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到30.38%。新增漏洞中,超危漏洞33个,高危漏洞155个,中危漏洞388个,低危漏洞10个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞586个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有217个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
217
37.03%
2
思科
32
5.46%
3
友讯
18
3.07%
4
居易
14
2.39%
5
Mozilla基金会
13
2.22%

本周国内厂商漏洞62个,友讯公司漏洞数量最多,有18个。国内厂商漏洞整体修复率为50.79%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到30.38%。漏洞类型统计如表2所示。

表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
178
30.38%
2
路径遍历
18
3.07%
3
代码问题
15
2.56%
4
缓冲区错误
14
2.39%
5
SQL注入
13
2.22%
6
输入验证错误
8
1.37%
7
访问控制错误
6
1.02%
8
资源管理错误
6
1.02%
9
跨站请求伪造
5
0.85%
10
信息泄露
4
0.68%
11
信任管理问题
3
0.51%
12
授权问题
2
0.34%
13
操作系统命令注入
2
0.34%
14
后置链接
1
0.17%
15
代码注入
1
0.17%
16
加密问题
1
0.17%
17
竞争条件问题
1
0.17%
18
权限许可和访问控制问题
1
0.17%
19
其他
307
52.39%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞33个,高危漏洞155个,中危漏洞388个,低危漏洞10个。相应修复率分别为72.73%、78.71%、90.21%和100.00%。根据补丁信息统计,合计506个漏洞已有修复补丁发布,整体修复率为86.35%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
33
24
72.73%
2
高危
155
122
78.71%
3
中危
388
350
90.21%
4
低危
10
10
100.00%
合计
586
506
86.35%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202410-138
超危
2
CNNVD-202410-156
高危
3
CNNVD-202410-432
高危

1.Google Nest 安全漏洞(CNNVD-202410-138)

Google Nest是美国谷歌(Google)公司的一款智能家居产品。

Google Nest存在安全漏洞,该漏洞源于应用程序在初始化TLS连接时没有正确验证服务器证书。攻击者利用该漏洞可以拦截TLS连接并读取数据。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://support.google.com/product-documentation/answer/14950962?sjid=9489879942601373169-NA

2.Cisco Nexus Dashboard Fabric Controller 安全漏洞(CNNVD-202410-156)

Cisco Nexus Dashboard Fabric Controller是美国思科(Cisco)公司的一种用于管理Cisco NX-OS部署的综合网络管理平台,适用于数据中心的LAN、SAN和IP Fabric for Media(IPFM)网络。

Cisco Nexus Dashboard Fabric Controller存在安全漏洞,该漏洞源于对路径验证不当。攻击者利用该漏洞可以在受影响的设备上执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-ptrce-BUSHLbp

3.WordPress plugin Social Auto Poster 跨站脚本漏洞(CNNVD-202410-432)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Social Auto Poster 5.3.15版本及之前版本存在跨站脚本漏洞,该漏洞源于在网页生成过程中对用户输入中和不当。攻击者利用该漏洞可以执行跨站脚本攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://codecanyon.net/item/social-auto-poster-wordpress-scheduler-marketing-plugin/5754169

接报漏洞情况

本周CNNVD接报漏洞68个,其中信息技术产品漏洞(通用型漏洞)29个,网络信息系统漏洞(事件型漏洞)39个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
内蒙古中叶信息技术有限责任公司
29
2
个人
12
3
河南东方云盾信息技术有限公司
6
4
北京聚信得仁科技有限公司
4
5
广州锦行网络科技有限公司
3
6
北京知道创宇信息技术股份有限公司
3
7
北京华云安信息技术有限公司
2
8
奇安信网神信息技术(北京)股份有限公司
1
9
北京天下信安技术有限公司
1
10
工业和信息化部电子第五研究所
1
11
江西中和证信息安全技术有限公司
1
12
西安交大捷普网络科技有限公司
1
13
广州纬安科技有限公司
1
14
杭州迪普科技股份有限公司
1
15
成都忆享科技有限公司
1
16
赛尔网络有限公司
1
报送总计
68

收录漏洞通报情况

本周CNNVD收录漏洞通报6个。

表7本周漏洞通报情况
序号
报送单位
通报总量
1
北京有略安全技术有限公司
3
2
河南东方云盾信息技术有限公司
2
3
安恒愿景(成都)信息科技有限公司
1
收录总计
6

文章来源: https://mp.weixin.qq.com/s?__biz=MzAxODY1OTM5OQ==&mid=2651457167&idx=3&sn=eb5e54c5c6324c21f67269c4baa06081&chksm=802c47a7b75bceb14bf29038b23904f5d688aa88b9775b4521c7330915d65e203d0b471e79a7&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh