公开漏洞情况
本周CNNVD采集安全漏洞370个,与上周(285个)相比增加了29.82%。
接报漏洞情况
本周CNNVD接报漏洞1059个,其中信息技术产品漏洞(通用型漏洞)36个,网络信息系统漏洞(事件型漏洞)1023个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞370个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有42个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.97%。新增漏洞中,超危漏洞26个,高危漏洞91个,中危漏洞249个,低危漏洞4个。相应修复率分别为73.08%、83.52%、93.17%和75.00%。根据补丁信息统计,合计330个漏洞已有修复补丁发布,整体修复率为89.19%。
(一)安全漏洞增长数量情况
本周CNNVD采集安全漏洞370与上周(285个)相比增多了29.82%。
图1 近五周漏洞新增数量统计图
(二)安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有42个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
|
序号 |
厂商名称 |
漏洞数量(个) |
所占比例 |
|
1 |
WordPress基金会 |
42 |
11.35% |
|
2 |
华硕 |
37 |
10.00% |
|
3 |
思科 |
25 |
6.76% |
|
4 |
谷歌 |
22 |
5.95% |
|
5 |
三星 |
19 |
5.14% |
本周国内厂商漏洞58个,华硕公司漏洞数量最多,有37个。国内厂商漏洞整体修复率为93.10%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到12.97%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
|
序号 |
漏洞类型 |
漏洞数量(个) |
所占比例 |
|
1 |
跨站脚本 |
48 |
12.97% |
|
2 |
安全特征问题 |
33 |
8.92% |
|
3 |
缓冲区错误 |
21 |
5.68% |
|
4 |
SQL注入 |
17 |
4.59% |
|
5 |
跨站请求伪造 |
13 |
3.51% |
|
6 |
输入验证错误 |
13 |
3.51% |
|
7 |
代码问题 |
13 |
3.51% |
|
8 |
信息泄露 |
10 |
2.70% |
|
9 |
路径遍历 |
7 |
1.89% |
|
10 |
访问控制错误 |
7 |
1.89% |
|
11 |
资源管理错误 |
4 |
1.08% |
|
12 |
注入 |
4 |
1.08% |
|
13 |
授权问题 |
3 |
0.81% |
|
14 |
数据伪造问题 |
3 |
0.81% |
|
15 |
代码注入 |
2 |
0.54% |
|
16 |
命令注入 |
1 |
0.27% |
|
17 |
信任管理问题 |
1 |
0.27% |
|
18 |
参数注入 |
1 |
0.27% |
|
19 |
加密问题 |
1 |
0.27% |
|
20 |
格式化字符串错误 |
1 |
0.27% |
|
21 |
其他 |
166 |
44.86% |
(三)安全漏洞危害等级与修复情况
本周共发布超危漏洞26个,高危漏洞91个,中危漏洞249个,低危漏洞4个。相应修复率分别为73.08%、83.52%、93.17%和75.00%。根据补丁信息统计,合计330个漏洞已有修复补丁发布,整体修复率为89.19%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
|
序号 |
危害等级 |
漏洞数量(个) |
修复数量(个) |
修复率 |
|
1 |
超危 |
26 |
19 |
73.08% |
|
2 |
高危 |
91 |
76 |
83.52% |
|
3 |
中危 |
249 |
232 |
93.17% |
|
4 |
低危 |
4 |
3 |
75.00% |
|
合计 |
370 |
330 |
89.19% |
|
(四)本周重要漏洞实例
本期重要漏洞实例如表4所示。
表4 本期重要漏洞实例
|
序号 |
漏洞 |
漏洞编号 |
厂商 |
漏洞实例 |
是否修复 |
危害等级 |
|
类型 |
||||||
|
1 |
输入验证错误 |
CNNVD-202104-231 |
Qualcomm |
Qualcomm 多款产品输入验证错误漏洞 |
是 |
超危 |
|
2 |
代码注入 |
CNNVD-202104-135 |
WordPress基金会 |
WordPress 代码注入漏洞 |
是 |
高危 |
|
3 |
其他 |
CNNVD-202104-179 |
微软 |
Microsoft Visual Studio Code 安全漏洞 |
是 |
高危 |
1. Qualcomm 多款产品输入验证错误漏洞(CNNVD-202104-231)
Qualcomm 芯片是美国高通(Qualcomm)公司的芯片。一种将电路(主要包括半导体设备,也包括被动组件等)小型化的方式,并时常制造在半导体晶圆表面上。
Qualcomm 多款产品存在输入验证错误漏洞,该漏洞源于XPU配置不当,可能导致RPM区域中的内存损坏。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qualcomm.com/company/product-security/bulletins/april-2021-bulletin
2. WordPress 代码注入漏洞(CNNVD-202104-135)
WordPress 插件是WordPress开源的一个应用插件。
WordPress 插件 WP Super Cache before 1.7.2 存在代码注入漏洞,该漏洞源于输入验证失败,攻击者可利用该漏洞进行web shell注入。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/733d8a02-0d44-4b78-bbb2-37e447acd2f3
3. Microsoft Visual Studio Code 安全漏洞(CNNVD-202104-179)
Microsoft Visual Studio Code是美国微软(Microsoft)公司的一款开源的代码编辑器。
unofficial Svelte extension before 104.8.0for Visual Studio Code 存在安全漏洞,攻击者可利用该漏洞通过精心制作的工作空间配置执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/sveltejs/language-tools/commit/5d7bf1fd98bfe2cd2080863a3c95ce099b898075
二、接报漏洞情况
本周CNNVD接报漏洞1059个,其中信息技术产品漏洞(通用型漏洞)36个,网络信息系统漏洞(事件型漏洞)1023个。
表5 本周漏洞报送情况
|
序号 |
报送单位 |
漏洞总量 |
|
1 |
上海斗像信息科技有限公司 |
521 |
|
2 |
网神信息技术(北京)股份有限公司 |
369 |
|
3 |
山东新潮信息技术有限公司 |
48 |
|
4 |
北京天地和兴科技有限公司 |
28 |
|
5 |
北京山石网科信息技术有限公司 |
27 |
|
6 |
任子行网络技术股份有限公司 |
11 |
|
7 |
北京数字观星科技有限公司 |
10 |
|
8 |
内蒙古思沃科技有限公司 |
9 |
|
9 |
北京安帝科技有限公司 |
7 |
|
10 |
博智安全科技股份有限公司 |
5 |
|
11 |
北京启明星辰信息安全技术有限公司 |
4 |
|
12 |
北京墨云科技有限公司 |
4 |
|
13 |
广州竞远安全技术股份有限公司 |
4 |
|
14 |
恒安嘉新(北京)科技股份公司 |
4 |
|
15 |
中通服咨询设计研究院有限公司 |
2 |
|
16 |
北京威努特技术有限公司 |
2 |
|
17 |
北京机沃科技有限公司 |
2 |
|
18 |
北京天娱在线网络科技有限公司 |
1 |
|
19 |
北京星阑科技有限公司 |
1 |
|
报送总计 |
1059 |
|
三、接报漏洞预警情况
本周CNNVD接报漏洞预警56份。
|
序号 |
报送单位 |
预警总量 |
|
1 |
深信服科技股份有限公司 |
24 |
|
2 |
杭州迪普科技股份有限公司 |
10 |
|
3 |
北京华云安信息技术有限公司 |
4 |
|
4 |
北京奇虎科技有限公司 |
4 |
|
5 |
内蒙古思沃科技有限公司 |
3 |
|
6 |
北京知道创宇信息技术股份有限公司 |
3 |
|
7 |
杭州安恒信息技术股份有限公司 |
3 |
|
8 |
北京启明星辰信息安全技术有限公司 |
2 |
|
9 |
网神信息技术(北京)股份有限公司 |
2 |
|
10 |
北京天融信网络安全技术有限公司 |
1 |
|
报送总计 |
56 |
|
本文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2021年第15期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论