信息安全漏洞周报(2024年第47期)

admin
admin
admin
138887
文章
114
评论
2024年11月20日21:31:22评论13 views字数 4657阅读15分31秒阅读模式
信息安全漏洞周报(2024年第47期)

信息安全漏洞周报(2024年第47期)

点击蓝字 关注我们

信息安全漏洞周报(2024年第47期)

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月11日至2024年11月17日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞1056个。

接报漏洞情况

本周CNNVD接报漏洞27335个,其中信息技术产品漏洞(通用型漏洞)244个,网络信息系统漏洞(事件型漏洞)47个,漏洞平台推送漏洞27044个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1056个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有165个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到10.13%。新增漏洞中,超危漏洞104个,高危漏洞360个,中危漏洞529个,低危漏洞63个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1056个。

信息安全漏洞周报(2024年第47期)

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有165个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress
165
15.63%
2
Microsoft
91
8.62%
3
Intel
79
7.48%
4
Adobe
52
4.92%
5
Ivanti
49
4.64%

本周国内厂商漏洞58个,友讯公司漏洞数量最多,有13个。国内厂商漏洞整体修复率为36.21%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到10.13%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
107
10.13%
2
代码问题
89
8.43%
3
缓冲区错误
62
5.87%
4
输入验证错误
35
3.31%
5
SQL注入
26
2.46%
6
路径遍历
26
2.46%
7
资源管理错误
25
2.37%
8
访问控制错误
19
1.80%
9
跨站请求伪造
18
1.70%
10
注入
17
1.61%
11
授权问题
16
1.52%
12
代码注入
14
1.33%
13
操作系统命令注入
13
1.23%
14
命令注入
10
0.95%
15
信息泄露
9
0.85%
16
信任管理问题
7
0.66%
17
参数注入
6
0.57%
18
后置链接
3
0.28%
19
日志信息泄露
2
0.19%
20
竞争条件问题
2
0.19%
21
数据伪造问题
1
0.09%
22
数字错误
1
0.09%
23
安全特征问题
1
0.09%
24
权限许可和访问控制问题
1
0.09%
25
加密问题
1
0.09%
26
其他
545
51.61%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞104个,高危漏洞360个,中危漏洞529个,低危漏洞63个。相应修复率分别为77.88%、86.11%、78.07%和49.21%。根据补丁信息统计,合计835个漏洞已有修复补丁发布,整体修复率为79.07%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
104
81
77.88%
2
高危
360
310
86.11%
3
中危
529
413
78.07%
4
低危
63
31
49.21%
合计
1056
835
79.07%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202411-2207
超危
2
CNNVD-202411-1574
高危
3
CNNVD-202411-1481
高危

1. WordPress plugin Backup and Staging by WP Time Capsule 代码问题漏洞(CNNVD-202411-2207)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Backup and Staging by WP Time Capsule 1.22.21版本及之前版本存在代码问题漏洞,该漏洞源于UploadHandler.php文件中缺少文件类型验证。攻击者利用该漏洞可以上传任意文件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/

id/fdc2de78-5601-461f-b2f0-c80b592ccb1b?source=cve

2. Adobe Substance 3D Painter 缓冲区错误漏洞(CNNVD-202411-1574)

Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。

Adobe Substance 3D Painter 10.1.0版本及之前版本存在缓冲区错误漏洞,该漏洞源于允许内存越界写入。攻击者利用该漏洞可以在当前用户环境中执行任意代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/substance3d_painter/apsb24-86.html

3. Microsoft SQL Server 安全漏洞(CNNVD-202411-1481)

Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。

Microsoft SQL Server存在安全漏洞,该漏洞源于存在基于堆的缓冲区溢出问题。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Microsoft SQL Server 2019 for x64-based Systems (CU 29),Microsoft SQL Server 2017 for x64-based Systems (GDR),Microsoft SQL Server 2019 for x64-based Systems (GDR),Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 (GDR),Microsoft SQL Server 2016 for x64-based Systems Service Pack 3 Azure Connect Feature Pack,Microsoft SQL Server 2017 for x64-based Systems (CU 31)。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/

CVE-2024-49012

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞27044个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
22687
2
补天平台
3788
3
360漏洞云
569
推送总计
27044

接报漏洞情况

本周CNNVD接报漏洞291个,其中信息技术产品漏洞(通用型漏洞)244个,网络信息系统漏洞(事件型漏洞)47个。

表6 本周漏洞报送情况
序号
报送单位
漏洞总量
1
个人
54
2
超聚变数字技术有限公司
45
3
北京天融信网络安全技术有限公司
25
4
星云博创科技有限公司
21
5
北京世纪超星信息技术发展有限责任公司
10
6
北京华云安信息技术有限公司
8
7
苏州棱镜七彩信息科技有限公司
8
8
广州纬安科技有限公司
7
9
内蒙古万邦信息安全技术有限公司
6
10
北京安帝科技有限公司
5
11
河南灵创电子科技有限公司
5
12
杭州美创科技股份有限公司
5
13
网宿科技股份有限公司
5
14
联通数字科技有限公司
5
15
河南省鼎信信息安全等级测评有限公司
5
16
北京时代新威信息技术有限公司
4
17
广州竞远安全技术股份有限公司
4
18
上海云盾信息技术有限公司
3
19
北京浩瀚深度信息技术股份有限公司
3
20
中资网络信息安全科技有限公司
3
21
北京知道创宇信息技术股份有限公司
3
22
华为技术有限公司
3
23
深信服科技股份有限公司
3
24
北京众安天下科技有限公司
3
25
天津市兴先道科技有限公司
3
26
温州市数据集团有限公司
3
27
杭州安恒信息技术股份有限公司
2
28
杭州戎戍网络安全技术有限公司
2
29
安恒愿景(成都)信息科技有限公司
2
30
卫士通(广州)信息安全技术有限公司
2
31
杭州海康威视数字技术股份有限公司
2
32
北京天防安全科技有限公司
2
33
途耀信息技术(上海)有限公司
2
34
贵州粟詈网络科技有限公司
1
35
奇安信网神信息技术(北京)股份有限公司
1
36
广西网信信息技术有限公司
1
37
北京神州绿盟科技有限公司
1
38
甘肃赛飞安全科技有限公司
1
39
星舟有信(北京)信息技术有限公司
1
40
甘肃丝路信安数字科技有限公司
1
41
山西轩辕信息安全技术有限公司
1
42
成都卫士通信息安全技术有限公司
1
43
北京天下信安技术有限公司
1
44
河南听潮盛世信息技术有限公司
1
45
北京金睛云华科技有限公司
1
46
成都思维世纪科技有限责任公司
1
47
九州安连(北京)科技有限公司
1
48
华易数安科技(吉林省)有限公司
1
49
江苏保旺达软件技术有限公司
1
50
中兴通讯股份有限公司
1
51
上海安几科技有限公司
1
52
浙江鑫诺检测技术有限公司
1
53
贵州蓝天创新科技有限公司
1
54
上海谋乐网络科技有限公司
1
55
北京寰宇天穹信息技术有限公司
1
56
内蒙古奥创科技有限公司
1
57
北京水木羽林科技有限公司
1
58
贵州多彩网安科技有限公司
1
59
天地伟业技术有限公司
1
60
北京君云天下科技有限公司
1
61
重庆嘉天琪科技有限公司
1
报送总计
291

收录漏洞通报情况

本周CNNVD收录漏洞通报128份。

表7 本周漏洞通报情况
序号
报送单位
通报总量
1
超聚变数字技术有限公司
12
2
中孚安全技术有限公司
12
3
杭州迪普科技股份有限公司
8
4
杭州中电安科现代科技有限公司
8
5
安恒愿景(成都)信息科技有限公司
6
6
宁波和利时信息安全研究院有限公司
6
7
奇安信网神信息技术(北京)股份有限公司
5
8
杭州美创科技股份有限公司
5
9
浙江大华技术股份有限公司
5
10
北京安帝科技有限公司
5
11
温州市数据集团有限公司
3
12
西安秦易信息技术有限公司
3
13
河南省鼎信信息安全等级测评有限公司
3
14
内蒙古中叶信息技术有限责任公司
3
15
北京神州绿盟科技有限公司
3
16
北京华云安信息技术有限公司
3
17
广东省信息安全测评中心
3
18
西安交大捷普网络科技有限公司
2
19
河南灵创电子科技有限公司
2
20
广西网信信息技术有限公司
2
21
华为技术有限公司
2
22
深信服科技股份有限公司
2
23
腾讯云计算(北京)有限责任公司
2
24
江苏保旺达软件技术有限公司
2
25
锐捷网络股份有限公司
1
26
北京墨云科技有限公司
1
27
上海矢安科技有限公司
1
28
深圳市深信服信息安全有限公司
1
29
北京天融信网络安全技术有限公司
1
30
新华三技术有限公司
1
31
北京君云天下科技有限公司
1
32
天地伟业技术有限公司
1
33
信元网络技术股份有限公司
1
34
杭州海康威视数字技术股份有限公司
1
35
厦门服云信息科技有限公司
1
36
郑州埃文科技有限公司
1
37
网宿科技股份有限公司
1
38
河南悦海数安科技有限公司
1
39
北京浩瀚深度信息技术股份有限公司
1
40
北京众安天下科技有限公司
1
41
杭州安恒信息技术股份有限公司
1
42
北京华顺信安信息技术有限公司
1
43
江西中和证信息安全技术有限公司
1
44
北京水木羽林科技有限公司
1
45
维安(山东)数字技术有限公司
1
收录总计
128
信息安全漏洞周报(2024年第47期)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2024年第47期)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月20日21:31:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞周报(2024年第47期)https://cn-sec.com/archives/3416051.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息