信息安全漏洞周报(2021年第15期)

  • A+
所属分类:安全新闻

 

 


公开漏洞情况

    本周CNNVD采集安全漏洞370个,与上周(285个)相比增加了29.82%。

接报漏洞情况

    本周CNNVD接报漏洞1059个,其中信息技术产品漏洞(通用型漏洞)36个,网络信息系统漏洞(事件型漏洞)1023个。

 


 

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞370个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有42个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.97%。新增漏洞中,超危漏洞26个,高危漏洞91个,中危漏洞249个,低危漏洞4个。相应修复率分别为73.08%、83.52%、93.17%和75.00%。根据补丁信息统计,合计330个漏洞已有修复补丁发布,整体修复率为89.19%。

(一)安全漏洞增长数量情况

    本周CNNVD采集安全漏洞370与上周(285个)相比增多了29.82%。

     

信息安全漏洞周报(2021年第15期)

                     

图1 近五周漏洞新增数量统计图

 

(二)安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有42个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

42

11.35%

2

华硕

37

10.00%

3

思科

25

6.76%

4

谷歌

22

5.95%

5

三星

19

5.14%

    本周国内厂商漏洞58个,华硕公司漏洞数量最多,有37个。国内厂商漏洞整体修复率为93.10%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

    从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到12.97%。漏洞类型统计如表2所示。

    表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

48

12.97%

2

安全特征问题

33

8.92%

3

缓冲区错误

21

5.68%

4

SQL注入

17

4.59%

5

跨站请求伪造

13

3.51%

6

输入验证错误

13

3.51%

7

代码问题

13

3.51%

8

信息泄露

10

2.70%

9

路径遍历

7

1.89%

10

访问控制错误

7

1.89%

11

资源管理错误

4

1.08%

12

注入

4

1.08%

13

授权问题

3

0.81%

14

数据伪造问题

3

0.81%

15

代码注入

2

0.54%

16

命令注入

1

0.27%

17

信任管理问题

1

0.27%

18

参数注入

1

0.27%

19

加密问题

1

0.27%

20

格式化字符串错误

1

0.27%

21

其他

166

44.86%

(三)安全漏洞危害等级与修复情况

    本周共发布超危漏洞26个,高危漏洞91个,中危漏洞249个,低危漏洞4个。相应修复率分别为73.08%、83.52%、93.17%和75.00%。根据补丁信息统计,合计330个漏洞已有修复补丁发布,整体修复率为89.19%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

26

19

73.08%

2

高危

91

76

83.52%

3

中危

249

232

93.17%

4

低危

4

3

75.00%

合计

370

330

89.19%

(四)本周重要漏洞实例

本期重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

输入验证错误

CNNVD-202104-231

Qualcomm

Qualcomm 多款产品输入验证错误漏洞

超危

2

代码注入

CNNVD-202104-135

WordPress基金会

WordPress 代码注入漏洞

高危

3

其他

CNNVD-202104-179

微软

Microsoft Visual Studio Code 安全漏洞

高危

 

1. Qualcomm 多款产品输入验证错误漏洞(CNNVD-202104-231)

Qualcomm 芯片是美国高通(Qualcomm)公司的芯片。一种将电路(主要包括半导体设备,也包括被动组件等)小型化的方式,并时常制造在半导体晶圆表面上。

Qualcomm 多款产品存在输入验证错误漏洞,该漏洞源于XPU配置不当,可能导致RPM区域中的内存损坏。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.qualcomm.com/company/product-security/bulletins/april-2021-bulletin

2. WordPress 代码注入漏洞(CNNVD-202104-135)

WordPress 插件是WordPress开源的一个应用插件。

WordPress 插件 WP Super Cache before 1.7.2 存在代码注入漏洞,该漏洞源于输入验证失败,攻击者可利用该漏洞进行web shell注入。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/733d8a02-0d44-4b78-bbb2-37e447acd2f3

3. Microsoft Visual Studio Code 安全漏洞(CNNVD-202104-179)

Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。

unofficial Svelte extension before 104.8.0for Visual Studio Code 存在安全漏洞,攻击者可利用该漏洞通过精心制作的工作空间配置执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/sveltejs/language-tools/commit/5d7bf1fd98bfe2cd2080863a3c95ce099b898075

二、接报漏洞情况

本周CNNVD接报漏洞1059个,其中信息技术产品漏洞(通用型漏洞)36个,网络信息系统漏洞(事件型漏洞)1023个。

表5 本周漏洞报送情况

序号

报送单位

漏洞总量

1      

上海斗像信息科技有限公司

521

2      

网神信息技术(北京)股份有限公司

369

3      

山东新潮信息技术有限公司

48

4      

北京天地和兴科技有限公司

28

5      

北京山石网科信息技术有限公司

27

6      

任子行网络技术股份有限公司

11

7      

北京数字观星科技有限公司

10

8      

内蒙古思沃科技有限公司

9

9      

北京安帝科技有限公司

7

10     

博智安全科技股份有限公司

5

11     

北京启明星辰信息安全技术有限公司

4

12     

北京墨云科技有限公司

4

13     

广州竞远安全技术股份有限公司

4

14     

恒安嘉新(北京)科技股份公司

4

15     

中通服咨询设计研究院有限公司

2

16     

北京威努特技术有限公司

2

17     

北京机沃科技有限公司

2

18     

北京天娱在线网络科技有限公司

1

19     

北京星阑科技有限公司

1

报送总计

1059

 

三、接报漏洞预警情况

    本周CNNVD接报漏洞预警56份。

序号

报送单位

预警总量

1      

深信服科技股份有限公司

24

2      

杭州迪普科技股份有限公司

10

3      

北京华云安信息技术有限公司

4

4      

北京奇虎科技有限公司

4

5      

内蒙古思沃科技有限公司

3

6      

北京知道创宇信息技术股份有限公司

3

7      

杭州安恒信息技术股份有限公司

3

8      

北京启明星辰信息安全技术有限公司

2

9      

网神信息技术(北京)股份有限公司

2

10     

北京天融信网络安全技术有限公司

1

报送总计

56

 


本文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2021年第15期)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: