信息安全漏洞周报(2025年第9期)

admin
admin
admin
138876
文章
114
评论
2025年3月5日20:31:57评论11 views字数 4356阅读14分31秒阅读模式

信息安全漏洞周报(2025年第9期)

信息安全漏洞周报(2025年第9期)

点击蓝字 关注我们

信息安全漏洞周报(2025年第9期)

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月24日至2025年3月2日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1497个。
接报漏洞情况
本周CNNVD接报漏洞10401个,其中信息技术产品漏洞(通用型漏洞)383个,网络信息系统漏洞(事件型漏洞)27个,漏洞平台推送漏洞9991个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1497个,漏洞新增数量有所上升。从厂商分布来看Linux基金会新增漏洞最多,有893个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到6.88%。新增漏洞中,超危漏洞29个,高危漏洞141个,中危漏洞1286个,低危漏洞41个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1497个。

信息安全漏洞周报(2025年第9期)

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,Linux基金会新增漏洞最多,有893个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
Linux基金会
893
59.65%
2
WordPress基金会
230
15.36%
3
IBM
24
1.60%
4
SeaCMS
18
1.20%
5
NVIDIA
11
0.73%

本周国内厂商漏洞60个,阳光电源公司漏洞数量最多,有9个。国内厂商漏洞整体修复率为41.67%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到6.88%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
103
6.88%
2
资源管理错误
35
2.34%
3
跨站请求伪造
33
2.20%
4
代码问题
32
2.14%
5
SQL注入
20
1.34%
6
代码注入
15
1.00%
7
缓冲区错误
15
1.00%
8
注入
14
0.94%
9
信息泄露
13
0.87%
10
路径遍历
13
0.87%
11
访问控制错误
8
0.53%
12
授权问题
7
0.47%
13
命令注入
6
0.40%
14
输入验证错误
6
0.40%
15
数据伪造问题
1
0.07%
16
数字错误
1
0.07%
17
操作系统命令注入
1
0.07%
18
竞争条件问题
1
0.07%
19
其他
1173
78.36%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞29个,高危漏洞141个,中危漏洞1286个,低危漏洞41个。相应修复率分别为75.86%、77.30%、86.55%和78.05%。根据补丁信息统计,合计1276个漏洞已有修复补丁发布,整体修复率为85.24%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
29
22
75.86%
2
高危
141
109
77.30%
3
中危
1286
1113
86.55%
4
低危
41
32
78.05%
合计
1497
1276
85.24%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号
漏洞编号
危害等级
1
CNNVD-202503-027
超危
2
CNNVD-202502-3395
高危
3
CNNVD-202502-3779
高危

1. WordPress plugin Academist Membership 安全漏洞(CNNVD-202503-027)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Academist Membership 1.1.6版本及之前版本存在安全漏洞,该漏洞源于未正确验证用户身份。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/911a9550-1f62-4f28-9d8c-00d9769949c9?source=cve
2. Cisco Nexus 3000 Series Switches和Cisco Nexus 9000 Series Switches 安全漏洞(CNNVD-202502-3395)
Cisco Nexus 3000 Series Switches和Cisco Nexus 9000 Series Switches都是美国思科(Cisco)公司的产品。Cisco Nexus 3000 Series Switches是一款3000系列交换机。Cisco Nexus 9000 Series Switches是一款9000系列交换机。
Cisco Nexus 3000 Series Switches和Cisco Nexus 9000 Series Switches存在安全漏洞,该漏洞源于对特定以太网帧处理不当。攻击者利用该漏洞可以导致设备意外重启。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3kn9k-healthdos-eOqSWK4g
3. IBM MQ 安全漏洞(CNNVD-202502-3779)
IBM MQ是美国国际商业机器(IBM)公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构(SOA)提供可靠的、经过验证的消息传递主干网。
IBM MQ存在安全漏洞,该漏洞源于对转义字符中和不当。攻击者利用该漏洞可以执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/7183467

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞9991个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
漏洞盒子
7455
2
360漏洞云
2314
3
补天平台
222
推送总计
9991

接报漏洞情况

本周CNNVD接报漏洞410个,其中信息技术产品漏洞(通用型漏洞)383个,网络信息系统漏洞(事件型漏洞)27个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
个人
56
2
西安捷润数码科技有限公司
35
3
奇安信网神信息技术(北京)股份有限公司
20
4
北京容辉智信科技有限公司
18
5
华为技术有限公司
18
6
北京天地和兴科技有限公司
17
7
北京安信天行科技有限公司
16
8
安工科技有限公司
15
9
成都卫士通信息安全技术有限公司
14
10
北京启明星辰信息安全技术有限公司
11
11
天翼数智科技(北京)有限公司
11
12
杭州戎戍网络安全技术有限公司
9
13
中国电信股份有限公司毕节分公司
8
14
山东维平信息安全测评技术有限公司
8
15
长沙中格创新科技有限公司
7
16
苏州棱镜七彩信息科技有限公司
6
17
中资网络信息安全科技有限公司
6
18
南京赛宁信息技术有限公司
6
19
成都安美勤信息技术股份有限公司
6
20
北京五一嘉峪科技有限公司
5
21
甘肃安信信息安全技术有限公司
5
22
北京山石网科信息技术有限公司
5
23
苏州如意云网络科技有限公司
5
24
北京神州绿盟科技有限公司
4
25
浙江极安信息科技有限公司
4
26
北京云科安信科技有限公司
4
27
广州竞远安全技术股份有限公司
4
28
途耀信息技术(上海)有限公司
4
29
中电智安科技有限公司
3
30
杭州美创科技股份有限公司
3
31
北京天融信网络安全技术有限公司
3
32
联通数字科技有限公司
3
33
成都创信华通信息技术有限公司
3
34
湖南泛联新安信息科技有限公司
3
35
北京天下信安技术有限公司
3
36
联通(山东)产业互联网有限公司
3
37
广州纬安科技有限公司
2
38
江苏安国信检测技术有限公司
2
39
江苏锋刃信息科技有限公司
2
40
北京安帝科技有限公司
2
41
黑龙江智泽测评科技有限公司
2
42
贵州多彩网安科技有限公司
2
43
新华三技术有限公司
2
44
北银金融科技有限责任公司
2
45
北京卓识网安技术股份有限公司
2
46
北方实验室(沈阳)股份有限公司
2
47
北京雪诺科技有限公司
2
48
上海戎磐网络科技有限公司
2
49
内蒙古奥创科技有限公司
2
50
甘肃千浩信息科技有限公司
2
51
中兴通讯股份有限公司
2
52
云南亚雄科技有限公司
2
53
北京航空航天大学
2
54
浪潮电子信息产业股份有限公司
2
55
中移(苏州)软件技术有限公司
1
56
西安交大捷普网络科技有限公司
1
57
北京中测安华科技有限公司
1
58
赛尔网络有限公司
1
59
广东物安信息技术有限公司
1
60
山西轩辕信息安全技术有限公司
1
61
江苏嘉恩网络安全科技有限公司
1
62
淮安易云科技有限公司
1
63
杭州孝道科技有限公司
1
64
南京南瑞信息通信科技有限公司
1
65
云南南天电子信息产业股份有限公司
1
66
江苏网擎信息技术有限公司
1
67
广西网信信息技术有限公司
1
68
三六零数字安全科技集团有限公司
1
69
内蒙古思沃科技有限公司
1
70
国网思极检测技术(北京)有限公司
1
71
重庆云立图科技有限公司
1
72
西安四叶草信息技术有限公司
1
73
深圳市能信安科技股份有限公司
1
74
浙江德迅网络安全技术有限公司
1
75
杭州海康威视数字技术股份有限公司
1
76
内蒙古大唐国际托克托发电有限责任公司
1
77
北京边界无限科技有限公司
1
报送总计
410

收录漏洞通报情况

本周CNNVD收录漏洞通报101份。

表7 本周漏洞通报情况

序号
报送单位
通报总量
1
奇安信网神信息技术(北京)股份有限公司
11
2
内蒙古思沃科技有限公司
10
3
华为技术有限公司
9
4
中孚安全技术有限公司
8
5
北京雪诺科技有限公司
6
6
中国电信股份有限公司网络安全产品运营中心
5
7
中国电信股份有限公司毕节分公司
4
8
成都安美勤信息技术股份有限公司
4
9
天翼数智科技(北京)有限公司
4
10
云南亚雄科技有限公司
3
11
南京赛宁信息技术有限公司
3
12
浙江极安信息科技有限公司
3
13
烽台科技(北京)有限公司
3
14
内蒙古启正信息科技有限公司
2
15
北京威努特技术有限公司
2
16
深信服科技股份有限公司
2
17
甘肃安信信息安全技术有限公司
2
18
安工科技有限公司
2
19
南京南瑞信息通信科技有限公司
2
20
北京安华金和科技有限公司
2
21
北京安天网络安全技术有限公司
1
22
杭州迪普科技股份有限公司
1
23
北京安帝科技有限公司
1
24
北京安普诺信息技术有限公司
1
25
道普信息技术有限公司
1
26
北京锦岳智慧科技有限公司
1
27
上海戟安科技有限公司
1
28
内蒙古奥创科技有限公司
1
29
成方金融信息技术服务有限公司
1
30
任子行网络技术股份有限公司
1
31
北京国科数安科技有限公司
1
32
北京神州绿盟科技有限公司
1
33
杭州安恒信息技术股份有限公司
1
34
途耀信息技术(上海)有限公司
1
收录总计
101
信息安全漏洞周报(2025年第9期)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2025年第9期)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月5日20:31:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞周报(2025年第9期)https://cn-sec.com/archives/3798599.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息