点击蓝字 关注我们
漏洞情况
一
公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞713个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有108个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到8.56%。新增漏洞中,超危漏洞43个,高危漏洞227个,中危漏洞433个,低危漏洞10个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞713个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有108个。各厂商漏洞数量分布如表1所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本周国内厂商漏洞41个,联想公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为63.41%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到8.56%。漏洞类型统计如表2所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞43个,高危漏洞227个,中危漏洞433个,低危漏洞10个。相应修复率分别为79.07%、93.83%、78.06%和90.00%。根据补丁信息统计,合计594个漏洞已有修复补丁发布,整体修复率为83.31%。详细情况如表3所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.WordPress plugin LearnPress SQL注入漏洞(CNNVD-202409-970)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin LearnPress 4.2.7版本及之前版本存在SQL注入漏洞,该漏洞源于对用户提供的参数转义不足以及对现有SQL查询准备不足导致。攻击者利用该漏洞可以从数据库中提取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wordpress.org/plugins/learnpress/
2.Google Pixel 安全漏洞(CNNVD-202409-1212)
Google Pixel是美国谷歌(Google)公司的一款智能手机。
Google Pixel存在安全漏洞,该漏洞源于代码中存在逻辑错误,从而导致内存损坏。攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://source.android.com/security/bulletin/pixel/2024-09-01
3.Microsoft SQL Server 安全漏洞(CNNVD-202409-728)
Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。
Microsoft SQL Server存在安全漏洞,该漏洞源于错误地使用空字符或等效终止符终止字符串或数组。攻击者利用该漏洞可以获取敏感信息。以下产品和版本受到影响:Microsoft SQL Server 2017 for x64-based Systems (GDR),Microsoft SQL Server 2019 for x64-based Systems (GDR),Microsoft SQL Server 2017 for x64-based Systems (CU 31)。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43474
二
漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞28316个。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
三
接报漏洞情况
本周CNNVD接报漏洞266个,其中信息技术产品漏洞(通用型漏洞)191个,网络信息系统漏洞(事件型漏洞)75个。
表6 本周漏洞报送情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
四
收录漏洞通报情况
本周CNNVD收录漏洞通报124份。
表7本周漏洞通报情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
五
重大漏洞通报
近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证,导致软件项目仓库数据泄露,进而攻陷服务器。GitLab多个版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认GitLab版本,尽快采取修补措施。
1.漏洞介绍
GitLab是美国GitLab公司的一款软件项目仓库应用程序,具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab存在一个身份验证绕过漏洞,攻击者可以通过某种方式利用其他用户身份触发pipeline,从而绕过身份验证,导致软件项目仓库数据泄露,进而攻陷服务器。
2.危害影响
GitLab CE/EE 8.14 至GitLab CE/EE17.1.7之前版本、GitLab CE/EE 17.2至GitLab CE/EE 17.2.5之前版本、GitLab CE/EE 17.3 至GitLab CE/EE 17.3.2之前版本均受该漏洞影响。
3.修复建议
目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认GitLab版本,尽快采取修补措施。
官方升级链接:
https://about.gitlab.com/update
原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2024年第38期 )
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论