信息安全漏洞周报（2024年第17期）

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2024年4月15日至2024年4月21日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞999个。

接报漏洞情况

本周CNNVD接报漏洞17942个，其中信息技术产品漏洞（通用型漏洞）265个，网络信息系统漏洞（事件型漏洞）38个，漏洞平台推送漏洞17639个。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞999个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有269个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到8.81%。新增漏洞中，超危漏洞29个，高危漏洞144个，中危漏洞800个，低危漏洞26个。

本周CNNVD采集安全漏洞999个。

图1 近五周漏洞新增数量统计图

从厂商分布来看，WordPress基金会新增漏洞最多，有269个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	269	26.93%
2	Oracle	133	13.31%
3	Linux基金会	107	10.71%
4	腾达	46	4.60%
5	Ivanti	26	2.60%

本周国内厂商漏洞81个，腾达公司漏洞数量最多，有46个。国内厂商漏洞整体修复率为73.49%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到8.81%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	跨站脚本	88	8.81%
2	跨站请求伪造	71	7.11%
3	SQL注入	21	2.10%
4	路径遍历	14	1.40%
5	代码问题	13	1.30%
6	信息泄露	8	0.80%
7	输入验证错误	7	0.70%
8	访问控制错误	6	0.60%
9	日志信息泄露	3	0.30%
10	操作系统命令注入	3	0.30%
11	命令注入	3	0.30%
12	授权问题	2	0.20%
13	信任管理问题	2	0.20%
14	代码注入	1	0.10%
15	参数注入	1	0.10%
16	竞争条件问题	1	0.10%
17	资源管理错误	1	0.10%
18	加密问题	1	0.10%
19	环境问题	1	0.10%
20	其他	752	75.28%

本周共发布超危漏洞29个，高危漏洞144个，中危漏洞800个，低危漏洞26个。相应修复率分别为86.21%、84.03%、86.63%和92.31%。根据补丁信息统计，合计863个漏洞已有修复补丁发布，整体修复率为86.39%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	29	25	86.21%
2	高危	144	121	84.03%
3	中危	800	693	86.63%
4	低危	26	24	92.31%
合计		999	863	86.39%

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞 类型

漏洞编号

厂商

漏洞实例

是否修复

危害等级

1

其他

CNNVD-202404-2423

WordPress基金会

WordPress plugin Salon booking system 安全漏洞

是

超危

2

其他

CNNVD-202404-2389

谷歌

Google Chrome 安全漏洞

是

高危

3

其他

CNNVD-202404-2354

Oracle

Oracle E-Business Suite 的 Oracle Trade Management 安全漏洞

是

高危

1.WordPress plugin Salon booking system 安全漏洞（CNNVD-202404-2423）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Salon booking system 9.6.3之前版本存在安全漏洞，该漏洞源于没有正确清理和转义Mobile Phone字段。攻击者利用该漏洞执行跨站点脚本攻击。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wpscan.com/vulnerability/b3a0bb3f-50b2-4dcb-b23c-b08480363a4a/

2.Google Chrome 安全漏洞（CNNVD-202404-2389）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。

Google Chrome 124.0.6367.60之前版本存在安全漏洞，该漏洞源于存在内存释放后重用问题。远程攻击者利用该漏洞通过特制的HTML页面导致堆损坏。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop_16.html

3.Oracle E-Business Suite 的 Oracle Trade Management 安全漏洞（CNNVD-202404-2354）

Oracle E-Business Suite（电子商务套件）和Oracle Trade Management都是美国甲骨文（Oracle）公司的产品。Oracle E-Business Suite是一套全面集成式的全球业务管理软件，该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle Trade Management是其中的一个贸易管理系统，提供产品分类分配，采购订单和信用证的导入，以及估计成本与实际成本对账等功能，提高贸易效率和收益。

Oracle E-Business Suite 的 Oracle Trade Management存在安全漏洞。攻击者利用该漏洞可以获取对数据的访问权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.oracle.com/security-alerts/cpuapr2024.html

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞17639个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	14870
2	补天平台	2120
3	360漏洞云	649
推送总计		17639

三、接报漏洞情况

本周CNNVD接报漏洞303个，其中信息技术产品漏洞（通用型漏洞）265个，网络信息系统漏洞（事件型漏洞）38个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	个人	43
2	星云博创科技有限公司	20
3	金盾检测技术股份有限公司	12
4	北京启明星辰信息安全技术有限公司	11
5	中控技术股份有限公司	11
6	中国信息安全测评中心华中测评中心（湖南省信息安全测评中心）	10
7	北京安天网络安全技术有限公司	9
8	北京天融信网络安全技术有限公司	9
9	上海斗象信息科技有限公司	9
10	亚信科技（成都）有限公司	9
11	北京中关村实验室	8
12	湖南泛联新安信息科技有限公司	8
13	成都创信华通信息技术有限公司	5
14	河南宝通信息安全测评有限公司	5
15	河南东方云盾信息技术有限公司	5
16	河南灵创电子科技有限公司	5
17	南京共美科技有限公司	5
18	山东云天安全技术有限公司	5
19	中电智安科技有限公司	5
20	超聚变数字技术有限公司	4
21	成都安美勤信息技术股份有限公司	4
22	广州竞远安全技术股份有限公司	4
23	华为技术有限公司	4
24	江苏安国信检测技术有限公司	4
25	中电长城网际系统应用有限公司	4
26	中资网络信息安全科技有限公司	4
27	北方实验室（沈阳）股份有限公司	3
28	北京安信天行科技有限公司	3
29	北京网藤科技有限公司	3
30	北京中测安华科技有限公司	3
31	福建银数信息技术有限公司	3
32	浪潮电子信息产业股份有限公司	3
33	南京聚铭网络科技有限公司	3
34	南京南自数安技术有限公司	3
35	长春嘉诚信息技术股份有限公司	3
36	重庆聚鑫瑞云计算有限公司	3
37	安徽长泰科技有限公司	2
38	北京华云安信息技术有限公司	2
39	北京源堡科技有限公司	2
40	广州市昊恒信息科技有限公司	2
41	江西安极信息技术有限公司	2
42	内蒙古宇世信息技术有限公司	2
43	赛尔网络有限公司	2
44	三六零数字安全科技集团有限公司	2
45	山石网科通信技术股份有限公司	2
46	上海匡创信息技术有限公司	2
47	上海谋乐网络科技有限公司	2
48	深信服科技股份有限公司	2
49	途耀信息技术（上海）有限公司	2
50	安徽三实软件科技有限公司	1
51	北京赛博昆仑科技有限公司	1
52	北京赛宁网安科技有限公司	1
53	北京神州绿盟科技有限公司	1
54	北京云科安信科技有限公司	1
55	北京云起无垠科技有限公司	1
56	北京卓识网安技术股份有限公司	1
57	杭州安恒信息技术股份有限公司	1
58	杭州美创科技股份有限公司	1
59	河北东鼎电子科技有限公司	1
60	河南天祺信息安全技术有限公司	1
61	湖南省金盾信息安全等级保护评估中心有限公司	1
62	江苏保旺达软件技术有限公司	1
63	京东科技信息技术有限公司	1
64	南京禾盾信息科技有限公司	1
65	山东鼎夏智能科技有限公司	1
66	山西轩辕信息安全技术有限公司	1
67	上海安几科技有限公司	1
68	上海观安信息技术股份有限公司	1
69	四川溯蓉信创科技有限公司	1
70	天翼数智科技（北京）有限公司	1
71	维安（山东）数字技术有限公司	1
72	新华三技术有限公司	1
73	云上广济（贵州）信息技术有限公司	1
74	长扬科技（北京）股份有限公司	1
报送总计		303

四、收录漏洞通报情况

本周CNNVD收录漏洞通报101份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	中孚安全技术有限公司	13
2	中电智安科技有限公司	9
3	北京五一嘉峪科技有限公司	8
4	华为技术有限公司	7
5	南京禾盾信息科技有限公司	6
6	上海斗象信息科技有限公司	5
7	北京云科安信科技有限公司	3
8	河南宝通信息安全测评有限公司	3
9	淮安易云科技有限公司	3
10	江苏讯安信息安全技术有限公司	3
11	江西中和证信息安全技术有限公司	3
12	北京安信天行科技有限公司	2
13	北京天融信网络安全技术有限公司	2
14	河南东方云盾信息技术有限公司	2
15	江苏安国信检测技术有限公司	2
16	金盾检测技术股份有限公司	2
17	奇安信网神信息技术（北京）股份有限公司	2
18	锐捷网络股份有限公司	2
19	山东云天安全技术有限公司	2
20	上海云盾信息技术有限公司	2
21	深信服科技股份有限公司	2
22	维安（山东）数字技术有限公司	2
23	北京华云安信息技术有限公司	1
24	北京赛博昆仑科技有限公司	1
25	北京神州绿盟科技有限公司	1
26	北京长亭科技有限公司	1
27	广东信网数安科技有限公司	1
28	广州非凡信息安全技术有限公司	1
29	河南悦海数安科技有限公司	1
30	建信金融科技有限责任公司安全攻防实验室	1
31	内蒙古宇世信息技术有限公司	1
32	三六零数字安全科技集团有限公司	1
33	山东维平信息安全测评技术有限公司	1
34	上海计算机软件技术开发中心	1
35	深圳市网安计算机安全检测技术有限公司	1
36	西安交大捷普网络科技有限公司	1
37	远江盛邦(北京)网络安全科技股份有限公司	1
38	浙江大华技术股份有限公司	1
收录总计		101