信息安全漏洞周报（2023年第48期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2023年11月27日至2023年12月3日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞503个。

接报漏洞情况

本周CNNVD接报漏洞40062个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）45个，漏洞平台推送漏洞39776个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞503个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有113个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到16.70%。新增漏洞中，超危漏洞38个，高危漏洞118个，中危漏洞337个，低危漏洞10个。

本周CNNVD采集安全漏洞503个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，WordPress基金会新增漏洞最多，有113个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	113	22.47%
2	合勤	15	2.98%
3	IBM	14	2.78%
4	Apache基金会	14	2.78%
5	腾达	14	2.78%

本周国内厂商漏洞73个，合勤公司漏洞数量最多，有15个。国内厂商漏洞整体修复率为69.86%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到16.70%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	跨站脚本	84	16.70%
2	跨站请求伪造	25	4.97%
3	SQL注入	19	3.78%
4	信息泄露	16	3.18%
5	代码问题	15	2.98%
6	输入验证错误	10	1.99%
7	资源管理错误	6	1.19%
8	访问控制错误	6	1.19%
9	操作系统命令注入	6	1.19%
10	路径遍历	4	0.80%
11	数据伪造问题	3	0.60%
12	授权问题	2	0.40%
13	代码注入	2	0.40%
14	注入	2	0.40%
15	缓冲区错误	1	0.20%
16	加密问题	1	0.20%
17	其他	301	59.84%

本周共发布超危漏洞38个，高危漏洞118个，中危漏洞337个，低危漏洞10个。相应修复率分别为78.95%、88.14%、83.09%和90.00%。根据补丁信息统计，合计423个漏洞已有修复补丁发布，整体修复率为84.10%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	38	30	78.95%
2	高危	118	104	88.14%
3	中危	337	280	83.09%
4	低危	10	9	90.00%
合计		503	423	84.10%

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	其他	CNNVD-202311-2240	谷歌	Google Chromecast 安全漏洞	是	超危
2	其他	CNNVD-202311-2110	WordPress基金会	WordPress plugin POST SMTP Mailer 安全漏洞	是	高危
3	其他	CNNVD-202311-2397	苹果	Apple Safari 安全漏洞	是	高危

1.Google Chromecast 安全漏洞（CNNVD-202311-2240）

Google Chromecast是美国谷歌（Google）公司的一项技术。可让您将您喜爱的娱乐和应用程序从手机、平板电脑或笔记本电脑直接传输到电视或扬声器。

Google Chromecast存在安全漏洞。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://source.android.com/docs/security/bulletin/chromecast/2023-07-01

2.WordPress plugin POST SMTP Mailer 安全漏洞（CNNVD-202311-2110）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin POST SMTP Mailer 2.7.1之前版本存在安全漏洞，该漏洞源于在将电子邮件内容显示在后端之前不会对其进行转义。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wpscan.com/vulnerability/22fa478d-e42e-488d-9b4b-a8720dec7cee

3.Apple Safari 安全漏洞（CNNVD-202311-2397）

Apple Safari是美国苹果（Apple）公司的一款Web浏览器，是Mac OS X和iOS操作系统附带的默认浏览器。

Apple Safari 17.1.2之前版本存在安全漏洞，该漏洞源于内存损坏，从而导致任意代码执行。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://support.apple.com/en-us/HT214033

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞39776个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	27831
2	补天平台	11768
3	360漏洞云	177
推送总计		39776

三、接报漏洞情况

本周CNNVD接报漏洞286个，其中信息技术产品漏洞（通用型漏洞）241个，网络信息系统漏洞（事件型漏洞）45个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	卫士通（广州）信息安全技术有限公司	79
2	个人	33
3	北京启明星辰信息安全技术有限公司	19
4	江苏百达智慧网络科技有限公司	16
5	广州竞远安全技术股份有限公司	13
6	天地伟业技术有限公司	11
7	北京华云安信息技术有限公司	8
8	深信服科技股份有限公司	8
9	新基信息技术集团股份有限公司	8
10	西安交大捷普网络科技有限公司	7
11	北京长亭科技有限公司	6
12	北京天融信网络安全技术有限公司	5
13	湖南泛联新安信息科技有限公司	5
14	山东泽鹿安全技术有限公司	5
15	北方实验室（沈阳）股份有限公司	4
16	北京天防安全科技有限公司	4
17	工业和信息化部电子第五研究所	4
18	河南灵创电子科技有限公司	4
19	北京安信天行科技有限公司	3
20	北京江南天安科技有限公司	3
21	北京奇虎科技有限公司	3
22	北京容辉智信科技有限公司	3
23	北京赛宁网安科技有限公司	3
24	广州纬安科技有限公司	3
25	联通数字科技有限公司	3
26	南京众智维信息科技有限公司	3
27	途耀信息技术（上海）有限公司	3
28	中兴通讯股份有限公司	3
29	成都安美勤信息技术股份有限公司	2
30	南京聚铭网络科技有限公司	2
31	远江盛邦(北京)网络安全科技股份有限公司	2
32	北京安普诺信息技术有限公司	1
33	北京安胜华信科技有限公司	1
34	北京国舜科技股份有限公司	1
35	北京众安天下科技有限公司	1
36	江苏安国信检测技术有限公司	1
37	内蒙古旌云科技有限公司	1
38	三六零数字安全科技集团有限公司	1
39	山西轩辕信息安全技术有限公司	1
40	数字新时代（山东）数据科技服务有限公司	1
41	苏州棱镜七彩信息科技有限公司	1
42	浙江东安检测技术有限公司	1
报送总计		286

四、收录漏洞通报情况

本周CNNVD收录漏洞通报90份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	湖北肆安科技有限公司	13
2	南京禾盾信息科技有限公司	9
3	奇安信网神信息技术（北京）股份有限公司	7
4	北京中睿天下信息技术有限公司	6
5	山东泽鹿安全技术有限公司	5
6	天地伟业技术有限公司	4
7	杭州迪普科技股份有限公司	3
8	软安科技有限公司	3
9	上海斗象信息科技有限公司	3
10	深圳昂楷科技有限公司	3
11	中孚安全技术有限公司	3
12	北京华云安信息技术有限公司	2
13	北京赛宁网安科技有限公司	2
14	博智安全科技股份有限公司	2
15	华为技术有限公司	2
16	西安交大捷普网络科技有限公司	2
17	新华三技术有限公司	2
18	北京奇虎科技有限公司	1
19	北京山石网科信息技术有限公司	1
20	北京神州绿盟科技有限公司	1
21	北京天融信网络安全技术有限公司	1
22	敦和安全科技（武汉）有限公司	1
23	福建银数信息技术有限公司	1
24	工业和信息化部电子第五研究所	1
25	河南灵创电子科技有限公司	1
26	杰润鸿远（北京）科技有限公司	1
27	浪潮电子信息产业股份有限公司	1
28	南京聚铭网络科技有限公司	1
29	内蒙古旌云科技有限公司	1
30	任子行网络技术股份有限公司	1
31	三六零数字安全科技集团有限公司	1
32	山东鼎夏智能科技有限公司	1
33	深信服科技股份有限公司	1
34	腾讯云计算（北京）有限责任公司	1
35	网宿科技股份有限公司	1
36	中兴通讯股份有限公司	1
收录总计		90

原文始发于微信公众号（CNNVD安全动态）：信息安全漏洞周报（2023年第48期）