信息安全漏洞月报(2024年4月)

admin
admin
admin
138635
文章
114
评论
2024年5月11日11:59:42评论99 views字数 6311阅读21分2秒阅读模式

点击蓝字 关注我们

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2024年4月采集安全漏洞共3665个。
本月接报漏洞1228个,其中信息技术产品漏洞(通用型漏洞)1030个,网络信息系统漏洞(事件型漏洞)198个。漏洞平台推送漏洞40946个。

重大漏洞通报

Fortinet FortiClient 代码注入漏洞(CNNVD-202404-1054/CVE-2023-45590):Fortinet FortiClient 存在代码注入漏洞,该漏洞源于存在代码注入漏洞,攻击者可利用该漏洞通过诱骗FortiClientLinux用户访问恶意网站来执行未经授权的代码或命令。受影响的产品和版本:Fortinet FortiClientLinux 7.2.0版本、7.0.6至7.0.10版本和7.0.3至7.0.4版本。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.fortiguard.com/psirt/FG-IR-23-087

漏洞态势

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2024年4月新增安全漏洞共3665个,从厂商分布来看,WordPress漏洞数量最多,共发布894个;从漏洞类型来看,跨站脚本漏洞占比最大,达到7.26%。本月新增漏洞中,超危漏洞158个、高危漏洞703个、中危漏洞2469个、低危漏洞127个,相应修复率分别为82.92%、89.34%、82.06%以及76.38%。合计3038个漏洞已有修复补丁发布,本月整体修复率82.90%。

1.1 漏洞增长概况

2024年4月新增安全漏洞3665个,与上月(3304个)相比增加了10.93%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到2902个。
信息安全漏洞月报(2024年4月)

图1  2023年11月至2024年4月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2024年4月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到894个,占本月漏洞总量24.39%。

表1  2024年4月新增漏洞排名前十厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress

894

24.39%

2

Linux

367

10.01%

3

Microsoft

157

4.28%

4

Oracle

134

3.66%

5

腾达

102

2.78%

6

Robot Operating System

68

1.86%

7

福昕

51

1.39%

8

IBM

40

1.09%

9

华为

32

0.87%

10

Ivanti

32

0.87%
1.2.2 漏洞类型分布
20244月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为7.26%。

表2  2024年4月漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
266
7.26%
2
跨站请求伪造
156
4.26%
3
SQL注入
137
3.74%
4
代码问题
70
1.91%
5
路径遍历
37
1.01%
6
信息泄露
31
0.85%
7
输入验证错误
30
0.82%
8
操作系统命令注入
20
0.55%
9
日志信息泄露
17
0.46%
10
缓冲区错误
16
0.44%
11
授权问题
16
0.44%
12
代码注入
14
0.38%
13
访问控制错误
12
0.33%
14
资源管理错误
10
0.27%
15
信任管理问题
9
0.25%
16
命令注入
7
0.19%
17
加密问题
2
0.06%
18
权限许可和访问控制问题
2
0.06%
19
注入
1
0.03%
20
格式化字符串错误
1
0.03%
21
竞争条件问题
1
0.03%
22
参数注入
1
0.03%
23
数据伪造问题
1
0.03%
24
环境问题
1
0.03%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2024年4月漏洞危害等级分布情况如图2所示,其中超危漏洞158个,占本月漏洞总量4.31%。
信息安全漏洞月报(2024年4月)

图2  2024年4月漏洞危害等级分布图

1.3漏洞修复情况

1.3.1 整体修复情况

2024年4月各危害等级修复情况如图3所示,低危漏洞修复率最高,为89.34%,超危漏洞修复率最低,为76.38%。总体来看,本月整体修复率由上月的83.36%下降至本月的82.90%。
信息安全漏洞月报(2024年4月)

图3  2024年4月各危害等级修复情况统计图

1.3.2 厂商修复情况

2024年4月新增漏洞数量排名前十厂商修复情况如表3所示,合计1877个漏洞,占本月漏洞总量51.22%,平均修复率为93.18%。

表3  2024年4月厂商修复情况统计表

序号
厂商名称
漏洞数量(个)
修复数量
修复率
1
WordPress
894
869
97.21%
2
Linux
367
365
99.46%
3
Microsoft
157
153
97.46%
4
Oracle
134
134
100.00%
5
腾达
102
52
50.99%
6
Robot Operating System
68
61
89.71%
7
福昕
51
51
100.00%
8
IBM
40
40
100.00%
9
华为
32
32
100.00%
10
Ivanti
32
31
96.88%

二、接报漏洞情况

2024年4月接报漏洞1228个,其中信息技术产品漏洞(通用型漏洞)1030个,网络信息系统漏洞(事件型漏洞)198个。详情如表4所示。

表4  2024年4月接报漏洞情况表

序号
报送单位
漏洞数量
1
个人
191
2
北京中关村实验室
115
3
内蒙古旌云科技有限公司
76
4
北京天融信网络安全技术有限公司
36
5
中资网络信息安全科技有限公司
33
6
北京网藤科技有限公司
27
7
河南灵创电子科技有限公司
26
8
亚信科技(成都)有限公司
24
9
成都创信华通信息技术有限公司
23
10
星云博创科技有限公司
23
11
金盾检测技术股份有限公司
21
12
上海斗象信息科技有限公司
20
13
广州竞远安全技术股份有限公司
18
14
北京启明星辰信息安全技术有限公司
18
15
南京聚铭网络科技有限公司
18
16
成都安美勤信息技术股份有限公司
18
17
河南东方云盾信息技术有限公司
17
18
深信服科技股份有限公司
16
19
北京容辉智信科技有限公司
16
20
中电智安科技有限公司
14
21
中电长城网际系统应用有限公司
14
22
北京安天网络安全技术有限公司
14
23
北方实验室(沈阳)股份有限公司
13
24
中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)
11
25
中控技术股份有限公司
11
26
赛尔网络有限公司
10
27
山石网科通信技术股份有限公司
10
28
福建经联网络技术有限公司
10
29
南京共美科技有限公司
10
30
河南宝通信息安全测评有限公司
10
31
奇安信网神信息技术(北京)股份有限公司
9
32
河南天祺信息安全技术有限公司
9
33
湖南泛联新安信息科技有限公司
9
34
京东科技信息技术有限公司
9
35
内蒙古数字安全科技有限公司
8
36
新华三技术有限公司
8
37
北京神州绿盟科技有限公司
8
38
湖南罗洪科技有限公司
8
39
北京华云安信息技术有限公司
8
40
山西轩辕信息安全技术有限公司
8
41
广州市昊恒信息科技有限公司
7
42
山东云天安全技术有限公司
6
43
江苏安国信检测技术有限公司
6
44
北京威努特技术有限公司
6
45
北京边界无限科技有限公司
6
46
北京有略安全技术有限公司
6
47
三六零数字安全科技集团有限公司
6
48
北京知道创宇信息技术股份有限公司
5
49
北京微步在线科技有限公司
5
50
天翼数智科技(北京)有限公司
5
51
华为技术有限公司
5
52
福建银数信息技术有限公司
5
53
重庆聚鑫瑞云计算有限公司
5
54
北京安信天行科技有限公司
5
55
道普信息技术有限公司
5
56
深圳市深信服信息安全有限公司
5
57
贵州泰若数字科技有限公司
5
58
安徽长泰科技有限公司
5
59
西安交大捷普网络科技有限公司
5
60
南京禾盾信息科技有限公司
5
61
湖南省金盾信息安全等级保护评估中心有限公司
4
62
卫士通(广州)信息安全技术有限公司
4
63
北京中测安华科技有限公司
4
64
江苏嘉玖信息科技有限公司
4
65
上海云盾信息技术有限公司
4
66
国网思极检测技术(北京)有限公司
4
67
锐捷网络股份有限公司
4
68
超聚变数字技术有限公司
4
69
上海计算机软件技术开发中心
4
70
浙江大华技术股份有限公司
4
71
苏州棱镜七彩信息科技有限公司
4
72
云上广济(贵州)信息技术有限公司
4
73
长春嘉诚信息技术股份有限公司
4
74
杭州美创科技股份有限公司
4
75
网宿科技股份有限公司
4
76
浪潮电子信息产业股份有限公司
4
77
上海谋乐网络科技有限公司
4
78
途耀信息技术(上海)有限公司
3
79
北京奇虎科技有限公司
3
80
深圳市能信安科技股份有限公司
3
81
西藏熙安信息技术有限责任公司
3
82
北京源堡科技有限公司
3
83
南京南自数安技术有限公司
3
84
云盾智慧安全科技有限公司
3
85
杭州海康威视数字技术股份有限公司
3
86
安徽山盾科技有限公司
3
87
山西晋信安科技有限公司
3
88
内蒙古宇世信息技术有限公司
3
89
山东乾云启创信息科技股份有限公司
3
90
广州纬安科技有限公司
3
91
河北东鼎电子科技有限公司
3
92
河南悦海数安科技有限公司
2
93
北京云科安信科技有限公司
2
94
江苏讯安信息安全技术有限公司
2
95
江西中和证信息安全技术有限公司
2
96
证通股份有限公司
2
97
淮安易云科技有限公司
2
98
山东维平信息安全测评技术有限公司
2
99
江西安极信息技术有限公司
2
100
山东鼎夏智能科技有限公司
2
101
杭州安恒信息技术股份有限公司
2
102
科来网络技术股份有限公司
2
103
上海匡创信息技术有限公司
2
104
长扬科技(北京)股份有限公司
2
105
思而听(山东)网络科技有限公司
2
106
维安(山东)数字技术有限公司
2
107
远江盛邦(北京)网络安全科技股份有限公司
2
108
上海嘉韦思信息技术有限公司
2
109
山东新潮信息技术有限公司
2
110
江西渝融云安全科技有限公司
2
111
江苏保旺达软件技术有限公司
2
112
黑龙江安信与诚科技开发有限公司
2
113
北京六方云信息技术有限公司
1
114
北京信联数安科技有限公司
1
115
北京长亭科技有限公司
1
116
广州天懋信息系统股份有限公司
1
117
北京赛博昆仑科技有限公司
1
118
浙江国利网安科技有限公司
1
119
成都比特威锐科技有限公司
1
120
江西和尔惠信息技术有限公司
1
121
成都网域探行科技有限公司
1
122
安徽三实软件科技有限公司
1
123
烽台科技(北京)有限公司
1
124
广东信网数安科技有限公司
1
125
上海安几科技有限公司
1
126
上海观安信息技术股份有限公司
1
127
北京云起无垠科技有限公司
1
128
天津市兴先道科技有限公司
1
129
北京赛宁网安科技有限公司
1
130
北京圣博润高新技术股份有限公司
1
131
江西神舟信息安全评估中心有限公司
1
132
北京卓识网安技术股份有限公司
1
报送合计
1228

三、漏洞通报情况

3.1 通报情况

2024年4月接报通报745个,详情情况如表5所示。

表5  2024年4月接报通报情况表

序号
报送单位
通报数量
1
中孚安全技术有限公司
82
2
南京禾盾信息科技有限公司
35
3
北京五一嘉峪科技有限公司
30
4
华为技术有限公司
28
5
上海斗象信息科技有限公司
28
6
金盾检测技术股份有限公司
26
7
奇安信网神信息技术(北京)股份有限公司
24
8
河南东方云盾信息技术有限公司
19
9
江苏讯安信息安全技术有限公司
16
10
河南灵创电子科技有限公司
15
11
中电智安科技有限公司
15
12
西安交大捷普网络科技有限公司
14
13
北京云科安信科技有限公司
14
14
内蒙古信息系统安全等级测评中心
13
15
三六零数字安全科技集团有限公司
13
16
浙江大华技术股份有限公司
13
17
北京山石网科信息技术有限公司
13
18
北京华云安信息技术有限公司
12
19
北京天地和兴科技有限公司
12
20
中国信息安全测评中心华中测评中心(湖南省信息安全测评中心)
11
21
江苏安国信检测技术有限公司
11
22
淮安易云科技有限公司
11
23
上海三零卫士信息安全有限公司
11
24
京东科技信息技术有限公司
10
25
南京南自数安技术有限公司
10
26
维安(山东)数字技术有限公司
10
27
北京天融信网络安全技术有限公司
10
28
瑞数信息技术(上海)有限公司
10
29
江苏百达智慧网络科技有限公司
10
30
江西中和证信息安全技术有限公司
10
31
上海云盾信息技术有限公司
9
32
河南悦海数安科技有限公司
8
33
上海计算机软件技术开发中心
8
34
深信服科技股份有限公司
7
35
广州非凡信息安全技术有限公司
7
36
途耀信息技术(上海)有限公司
7
37
湖南罗洪科技有限公司
7
38
重庆梦之想科技有限责任公司
6
39
南京聚铭网络科技有限公司
6
40
亚信科技(成都)有限公司
6
41
北京安天网络安全技术有限公司
5
42
深圳市深信服信息安全有限公司
5
43
山东云天安全技术有限公司
5
44
新华三技术有限公司
5
45
内蒙古宇世信息技术有限公司
5
46
广东信网数安科技有限公司
5
47
杭州美创科技股份有限公司
5
48
锐捷网络股份有限公司
5
49
苏州棱镜七彩信息科技有限公司
5
50
中国电信股份有限公司网络安全产品运营中心
5
51
北京圣博润高新技术股份有限公司
5
52
西藏熙安信息技术有限责任公司
4
53
北京安信天行科技有限公司
4
54
河北东鼎电子科技有限公司
4
55
云南联创网安科技有限公司
4
56
远江盛邦(北京)网络安全科技股份有限公司
3
57
山东维平信息安全测评技术有限公司
3
58
江西神舟信息安全评估中心有限公司
3
59
河南宝通信息安全测评有限公司
3
60
北京神州绿盟科技有限公司
3
61
深圳市能信安科技股份有限公司
3
62
杭州迪普科技股份有限公司
3
63
星云博创科技有限公司
2
64
北京网藤科技有限公司
2
65
重庆信安网络安全等级测评有限公司
2
66
杭州安恒信息技术股份有限公司
2
67
安徽长泰科技有限公司
2
68
江苏保旺达软件技术有限公司
2
69
建信金融科技有限责任公司安全攻防实验室
2
70
北京天下信安技术有限公司
2
71
宁波和利时信息安全研究院有限公司
2
72
北方实验室(沈阳)股份有限公司
2
73
浪潮电子信息产业股份有限公司
2
74
山石网科通信技术股份有限公司
2
75
北京长亭科技有限公司
2
76
浙江谦卦信息科技有限公司
2
77
北京赛博昆仑科技有限公司
2
78
联通(浙江)产业互联网有限公司
2
79
中孚安全技术有限公司
1
80
浙江鑫诺检测技术有限公司
1
81
杭州安恒信息技术股份有限公司
1
82
锐捷网络股份有限公司
1
83
北京时代新威信息技术有限公司
1
84
北京启明星辰信息安全技术有限公司
1
85
博智安全科技股份有限公司
1
86
杭州默安科技有限公司
1
87
深圳市网安计算机安全检测技术有限公司
1
88
安徽三实软件科技有限公司
1
89
北京网御星云信息技术有限公司
1
90
任子行网络技术股份有限公司
1
91
内蒙古旌云科技有限公司
1
92
成都安美勤信息技术股份有限公司
1
报送合计
745

3.2 重要漏洞

表6  2024年4月重要漏洞表

序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
CrushFTP 代码注入漏洞
CNNVD-202404-2987/
CVE-2024-4040
超危
2
Oracle WebLogic Server 安全漏洞
CNNVD-202404-2306/
CVE-2024-21006
高危
3
Palo Alto Networks PAN-OS 命令注入漏洞
CNNVD-202404-1777/
CVE-2024-3400
超危
4
Apache Zeppelin
代码注入漏洞
CNNVD-202404-1692/
CVE-2024-31861
超危
5
D-Link DNS-320
命令注入漏洞
CNNVD-202404-524/
CVE-2024-3273
高危

四、漏洞平台推送情况

2024年4月漏洞平台推送漏洞40946个。详情如表7所示。

表7  2024年4月漏洞平台推送情况表

序号
漏洞平台
漏洞总量
1
补天平台
7551
2
漏洞盒子
32086
3
360漏洞云
1309
推送总计
40946

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞月报(2024年4月)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月11日11:59:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞月报(2024年4月)https://cn-sec.com/archives/2729429.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息