信息安全漏洞周报(2024年第53期)

admin
admin
admin
138635
文章
114
评论
2025年1月1日11:45:30评论40 views字数 4185阅读13分57秒阅读模式
信息安全漏洞周报(2024年第53期)

信息安全漏洞周报(2024年第53期)

点击蓝字 关注我们

信息安全漏洞周报(2024年第53期)

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周2024年12月23日至2024年12月29日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞568个。
接报漏洞情况
本周CNNVD接报漏洞55928个,其中信息技术产品漏洞(通用型漏洞)581个,网络信息系统漏洞(事件型漏洞)114个,漏洞平台推送漏洞55233个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞568个,漏洞新增数量有所下降。从厂商分布来看Linux基金会新增漏洞最多,有316个;从漏洞类型来看,注入类的安全漏洞占比最大,达到7.39%。新增漏洞中,超危漏洞3个,高危漏洞17个,中危漏洞545个,低危漏洞3个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞568个。

信息安全漏洞周报(2024年第53期)

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Linux基金会新增漏洞最多,有316个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
Linux基金会
316
55.63%
2
WordPress基金会
45
7.92%
3
Code-Projects
29
5.11%
4
1000 Projects
19
3.35%
5
荣耀
12
2.11%

本周国内厂商漏洞31个,荣耀公司漏洞数量最多,有12个。国内厂商漏洞整体修复率为70.97%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,注入类的安全漏洞占比最大,达到7.39%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
注入
42
7.39%
2
跨站脚本
16
2.82%
3
代码注入
15
2.64%
4
SQL注入
8
1.41%
5
代码问题
5
0.88%
6
操作系统命令注入
3
0.53%
7
路径遍历
3
0.53%
8
输入验证错误
2
0.35%
9
加密问题
1
0.18%
10
竞争条件问题
1
0.18%
11
访问控制错误
1
0.18%
12
授权问题
1
0.18%
13
跨站请求伪造
1
0.18%
14
命令注入
1
0.18%
15
其他
468
82.39%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞3个,高危漏洞17个,中危漏洞545个,低危漏洞3个。相应修复率分别为100.00%、82.35%、80.37%和33.33%。根据补丁信息统计,合计456个漏洞已有修复补丁发布,整体修复率为80.28%。详细情况如表3所示。

表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
3
3
100.00%
2
高危
17
14
82.35%
3
中危
545
438
80.37%
4
低危
3
1
33.33%
合计
568
456
80.28%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例
序号
漏洞编号
危害等级
1
CNNVD-202412-2737
超危
2
CNNVD-202412-2670
高危
3
CNNVD-202412-2747
高危

1. WordPress plugin WooCommerce Point of Sale 安全漏洞(CNNVD-202412-2737)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin WooCommerce Point of Sale 6.1.0版本及之前版本存在安全漏洞,该漏洞源于当选项值为空时对“logged_in_user_id”值的验证不足。攻击者利用该漏洞可以更改任意用户帐户的电子邮件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/2a0671b1-1414-4315-8a2d-bd1aabe091a4?source=cve

2. Adobe ColdFusion 路径遍历漏洞(CNNVD-202412-2670)

Adobe ColdFusion是美国奥多比(Adobe)公司的一套快速应用程序开发平台,该平台包括集成开发环境和脚本语言。

Adobe ColdFusion 2023.x版本至2023.11版本和2021.x版本至2021.17版本存在路径遍历漏洞,该漏洞源于对路径名限制不当。攻击者利用该漏洞可以读取任意系统文件。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://helpx.adobe.com/security/products/coldfusion/apsb24-107.html

3. Apache MINA 安全漏洞(CNNVD-202412-2747)

Apache MINA是美国阿帕奇(Apache)基金会的一款网络应用程序框架,该产品主要用于开发高性能和高可伸缩性的网络应用程序。

Apache MINA 2.0.X版本、2.1.X版本和2.2.X版本存在安全漏洞,该漏洞源于ObjectSerializationDecoder使用Java的本地反序列化协议处理传入的序列化数据时,缺乏必要的安全检查和防御。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://lists.apache.org/thread/4wxktgjpggdbto15d515wdctohb0qmv8

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞55233个。

表5 本周漏洞平台推送情况
序号
漏洞平台
漏洞总量
1
漏洞盒子
32983
2
补天平台
21195
3
360漏洞云
1055
推送总计
55233

接报漏洞情况

本周CNNVD接报漏洞695个,其中信息技术产品漏洞(通用型漏洞)581个,网络信息系统漏洞(事件型漏洞)114个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
广州纬安科技有限公司
252
2
内蒙古数字安全科技有限公司
76
3
个人
51
4
北京启明星辰信息安全技术有限公司
22
5
星云博创科技有限公司
20
6
博智安全科技股份有限公司
17
7
江苏君立华域信息安全技术股份有限公司
13
8
南京赛宁信息技术有限公司
13
9
奇安信网神信息技术(北京)股份有限公司
10
10
北京长亭科技有限公司
9
11
深信服科技股份有限公司
9
12
华为技术有限公司
9
13
北京浩瀚深度信息技术股份有限公司
9
14
北京安信天行科技有限公司
8
15
北京微步在线科技有限公司
8
16
北京安博通科技股份有限公司
8
17
北京容辉智信科技有限公司
8
18
广东省信息安全测评中心
7
19
北京雪诺科技有限公司
7
20
安恒愿景(成都)信息科技有限公司
6
21
西安交大捷普网络科技有限公司
6
22
成都创信华通信息技术有限公司
6
23
河南灵创电子科技有限公司
5
24
内蒙古思沃科技有限公司
5
25
浪潮电子信息产业股份有限公司
5
26
中通服创发科技有限责任公司
5
27
广东创科安全科技有限公司
5
28
广州竞远安全技术股份有限公司
4
29
北京有略安全技术有限公司
4
30
成都安美勤信息技术股份有限公司
4
31
北京天融信网络安全技术有限公司
3
32
上海斗象信息科技有限公司
3
33
道普信息技术有限公司
3
34
苏州棱镜七彩信息科技有限公司
3
35
北京安帝科技有限公司
3
36
内蒙古洞明科技有限公司
3
37
广州松杨云创科技有限公司
3
38
统信软件技术有限公司
3
39
江苏保旺达软件技术有限公司
3
40
内蒙古旌云科技有限公司
3
41
广州非凡信息安全技术有限公司
3
42
南京国云电力有限公司
2
43
三六零数字安全科技集团有限公司
2
44
北京安普诺信息技术有限公司
2
45
北京世纪超星信息技术发展有限责任公司
2
46
东方电气中能工控网络安全技术(成都)有限责任公司
2
47
北京天下信安技术有限公司
2
48
浙江宇视科技有限公司
2
49
中资网络信息安全科技有限公司
2
50
京数安(北京)科技有限公司
2
51
北京安华金和科技有限公司
2
52
上海谋乐网络科技有限公司
2
53
内蒙古网智科技服务有限责任公司
2
54
杭州美创科技股份有限公司
2
55
上海纽盾科技股份有限公司
2
56
亚信科技(成都)有限公司
2
57
腾讯云计算(北京)有限责任公司
2
58
北京纽盾网安信息技术有限公司
2
59
联通数字科技有限公司
2
60
甘肃赛飞安全科技有限公司
1
61
京铁云智慧物流科技有限公司
1
62
新华三技术有限公司
1
63
山西轩辕信息安全技术有限公司
1
64
北京源堡科技有限公司
1
65
中乾建技术有限公司
1
66
长沙中格创新科技有限公司
1
67
云盾智慧安全科技有限公司
1
68
江苏正信信息安全测试有限公司
1
69
甘肃丝路信安数字科技有限公司
1
70
河北华测信息技术有限公司
1
71
内蒙古奥创科技有限公司
1
72
浙江齐安信息科技有限公司
1
73
广州网为信息技术有限公司
1
74
北京云科安信科技有限公司
1
报送总计
695

收录漏洞通报情况

本周CNNVD收录漏洞通报68份。

表7 本周漏洞通报情况
序号
报送单位
通报总量
1
中孚安全技术有限公司
10
2
奇安信网神信息技术(北京)股份有限公司
7
3
南京禾盾信息科技有限公司
5
4
北京华云安信息技术有限公司
5
5
华为技术有限公司
4
6
北京中科卓信软件测评技术中心
3
7
深信服科技股份有限公司
3
8
深圳市魔方安全科技有限公司
2
9
成都安美勤信息技术股份有限公司
2
10
杭州迪普科技股份有限公司
2
11
工业和信息化部电子第五研究所
2
12
江苏网擎安全技术有限公司
1
13
成都网域探行科技有限公司
1
14
浙江齐安信息科技有限公司
1
15
温州市数据集团有限公司
1
16
河南灵创电子科技有限公司
1
17
贵州粟詈网络科技有限公司
1
18
深圳昂楷科技有限公司
1
19
北京天下信安技术有限公司
1
20
锐捷网络股份有限公司
1
21
北京时代新威信息技术有限公司
1
22
上海戎磐网络科技有限公司
1
23
北京长亭科技有限公司
1
24
西安交大捷普网络科技有限公司
1
25
长扬科技(北京)股份有限公司
1
26
浪潮电子信息产业股份有限公司
1
27
安徽三实软件科技有限公司
1
28
新华三技术有限公司
1
29
内蒙古旌云科技有限公司
1
30
成都创信华通信息技术有限公司
1
31
北京安信天行科技有限公司
1
32
北京神州绿盟科技有限公司
1
33
北京微步在线科技有限公司
1
34
甘肃丝路信安数字科技有限公司
1
收录总计
68
信息安全漏洞周报(2024年第53期)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2024年第53期)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日11:45:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞周报(2024年第53期)https://cn-sec.com/archives/3578122.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息