点击蓝字 关注我们
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周(2025年1月13日至2025年1月19日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1292个。
接报漏洞情况
本周CNNVD接报漏洞22643个,其中信息技术产品漏洞(通用型漏洞)325个,网络信息系统漏洞(事件型漏洞)129个,漏洞平台推送漏洞22189个。
重大漏洞通报
Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55591):未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求,进而获得超级管理员权限。FortiOS和FortiProxy多个版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一
公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1292个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有359个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到17.11%。新增漏洞中,超危漏洞94个,高危漏洞289个,中危漏洞886个,低危漏洞23个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1292个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有359个。各厂商漏洞数量分布如表1所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
本周国内厂商漏洞136个,睿因公司漏洞数量最多,有62个。国内厂商漏洞整体修复率为57.35%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到17.11%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞94个,高危漏洞289个,中危漏洞886个,低危漏洞23个。相应修复率分别为97.87%、74.05%、76.64%和73.91%。根据补丁信息统计,合计1002个漏洞已有修复补丁发布,整体修复率为77.55%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Microsoft OLE是美国微软(Microsoft)公司的一种面向对象的技术。
Microsoft OLE存在资源管理错误漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298
2. IBM TXSeries for Multiplatforms 安全漏洞(CNNVD-202501-2800)
IBM TXSeries for Multiplatforms是美国国际商业机器(IBM)公司的一种事务处理监控和管理的软件产品,它旨在支持多平台上的分布式事务处理。
IBM TXSeries for Multiplatforms 10.1版本存在安全漏洞,该漏洞源于资源分配不当。攻击者利用该漏洞可以导致程序拒绝服务。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7172103
3. WordPress plugin Ultimate Member SQL注入漏洞(CNNVD-202501-2708)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Ultimate Member 2.9.1版本及之前版本存在SQL注入漏洞,该漏洞源于对用户提供的参数转义不足,以及对现有SQL查询准备不足。攻击者利用该漏洞可以从数据库中提取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wordpress.org/plugins/ultimate-member/
二
漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞22189个。
表5 本周漏洞平台推送情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
三
接报漏洞情况
本周CNNVD接报漏洞454个,其中信息技术产品漏洞(通用型漏洞)325个,网络信息系统漏洞(事件型漏洞)129个。
表6 本周漏洞报送情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
四
收录漏洞通报情况
本周CNNVD收录漏洞通报136份。
表7 本周漏洞通报情况
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
五
重大漏洞通报
CNNVD关于Fortinet FortiOS和FortiProxy
安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55591)情况的报送。未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求,进而获得超级管理员权限。FortiOS和FortiProxy多个版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1.漏洞介绍
Fortinet FortiOS和Fortinet FortiProxy都是美国飞塔(Fortinet)公司的产品。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御等保护用户免受网络攻击。FortiOS和FortiProxy中存在一个身份认证绕过漏洞。未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求利用该漏洞,进而获得超级管理员权限。
2.危害影响
FortiOS 7.0.0版本-7.0.16版本,FortiProxy 7.2.0版本-7.2.12版本,FortiProxy 7.0.0版本-7.0.19版本均受漏洞影响。
3.修复建议
目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接如下:
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2025年第3期)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论