点击蓝字 关注我们
漏洞情况
一
公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞652个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有122个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到4.60%。新增漏洞中,超危漏洞12个,高危漏洞56个,中危漏洞578个,低危漏洞6个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞652个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,Linux基金会新增漏洞最多,有122个。各厂商漏洞数量分布如表1所示。
| 序号 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本周国内厂商漏洞41个,友讯公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为63.41%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到4.60%。漏洞类型统计如表2所示。
|
序号 |
漏洞类型 |
漏洞数量(个) |
所占比例 |
|
1 |
跨站脚本 |
30 |
4.60% |
|
2 |
SQL注入 |
21 |
3.22% |
|
3 |
路径遍历 |
16 |
2.45% |
|
4 |
代码问题 |
11 |
1.69% |
|
5 |
命令注入 |
9 |
1.38% |
|
6 |
访问控制错误 |
6 |
0.92% |
|
7 |
信息泄露 |
5 |
0.77% |
|
8 |
输入验证错误 |
4 |
0.61% |
|
9 |
信任管理问题 |
4 |
0.61% |
|
10 |
缓冲区错误 |
4 |
0.61% |
|
11 |
资源管理错误 |
3 |
0.46% |
|
12 |
竞争条件问题 |
2 |
0.31% |
|
13 |
操作系统命令注入 |
2 |
0.31% |
|
14 |
代码注入 |
1 |
0.15% |
|
15 |
安全特征问题 |
1 |
0.15% |
|
16 |
后置链接 |
1 |
0.15% |
|
17 |
跨站请求伪造 |
1 |
0.15% |
|
18 |
加密问题 |
1 |
0.15% |
|
19 |
其他 |
530 |
81.29% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞12个,高危漏洞56个,中危漏洞578个,低危漏洞6个。相应修复率分别为83.33%、87.50%、71.97%和83.33%。根据补丁信息统计,合计480个漏洞已有修复补丁发布,整体修复率为73.62%。详细情况如表3所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.WordPress plugin LiteSpeed Cache 安全漏洞(CNNVD-202408-2072)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin LiteSpeed Cache 6.3.0.1版本及之前版本版本存在安全漏洞,该漏洞源于权限分配不正确。攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/blog/2024/08/over-5000000-site-owners-affected-by-critical-privilege-escalation-vulnerability-patched-in-litespeed-cache-plugin/
2.Cisco Unified Communications Manager 安全漏洞(CNNVD-202408-2088)
Cisco Unified Communications Manager是美国思科(Cisco)公司的一款统一通信系统中的呼叫处理组件,该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。
Cisco Unified Communications Manager存在安全漏洞,该漏洞源于对SIP消息的解析不正确。远程攻击者利用该漏洞可以通过发送特制的SIP消息导致系统拒绝服务。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-dos-kkHq43We#fs
3.Apache Helix 安全漏洞(CNNVD-202408-1968)
Apache Helix是美国阿帕奇(Apache)基金会的一个通用集群管理框架,用于自动管理托管在节点集群上的分区、复制和分布式资源。
Apache Helix存在安全漏洞,该漏洞源于使用了硬编码的密钥。攻击者利用该漏洞可以通过生成虚假的cookie来欺骗会话。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/zt26fpmrqx3fzcy8nv3b43kb3xllo5ny
二
漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞43878个。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
三
接报漏洞情况
本周CNNVD接报漏洞285个,其中信息技术产品漏洞(通用型漏洞)222个,网络信息系统漏洞(事件型漏洞)63个。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
四
收录漏洞通报情况
本周CNNVD收录漏洞通报62份。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2024年第35期 )
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论