信息安全漏洞周报(2025年第13期)

admin
admin
admin
139293
文章
114
评论
2025年4月2日22:23:36评论16 views字数 5225阅读17分25秒阅读模式

信息安全漏洞周报(2025年第13期)

信息安全漏洞周报(2025年第13期)

点击蓝字 关注我们

信息安全漏洞周报(2025年第13期)

漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周(2025年3月24日至2025年3月30日)安全漏洞情况如下:

公开漏洞情况
本周CNNVD采集安全漏洞1050个。
接报漏洞情况
本周CNNVD接报漏洞21152个,其中信息技术产品漏洞(通用型漏洞)460个,网络信息系统漏洞(事件型漏洞)57个,漏洞平台推送漏洞20635个。

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1050个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有477个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到21.43%。新增漏洞中,超危漏洞45个,高危漏洞201个,中危漏洞759个,低危漏洞45个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞1050个。

信息安全漏洞周报(2025年第13期)

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看,WordPress基金会新增漏洞最多,有477个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
477
45.43%
2
Linux基金会
131
12.48%
3
PHPGurukul
17
1.62%
4
戴尔
15
1.43%
5
Ming
14
1.33%

本周国内厂商漏洞46个,新华三公司漏洞数量最多,有8个。国内厂商漏洞整体修复率为23.40%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到21.43%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
225
21.43%
2
跨站请求伪造
98
9.33%
3
SQL注入
41
3.90%
4
代码问题
37
3.52%
5
注入
31
2.95%
6
资源管理错误
23
2.19%
7
代码注入
20
1.90%
8
路径遍历
20
1.90%
9
输入验证错误
17
1.62%
10
信息泄露
16
1.52%
11
缓冲区错误
15
1.43%
12
操作系统命令注入
15
1.43%
13
访问控制错误
10
0.95%
14
日志信息泄露
6
0.57%
15
命令注入
5
0.48%
16
授权问题
4
0.38%
17
加密问题
2
0.19%
18
环境问题
1
0.10%
19
参数注入
1
0.10%
20
后置链接
1
0.10%
21
信任管理问题
1
0.10%
22
其他
461
43.90%

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞45个,高危漏洞201个,中危漏洞759个,低危漏洞45个。相应修复率分别为57.78%、77.61%、75.10%和80.00%。根据补丁信息统计,合计788个漏洞已有修复补丁发布,整体修复率为75.05%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
45
26
57.78%
2
高危
201
156
77.61%
3
中危
759
570
75.10%
4
低危
45
36
80.00%
合计
1050
788
75.05%

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号
漏洞编号
危害等级
1
CNNVD-202503-3729
超危
2
CNNVD-202503-3381
高危
3
CNNVD-202503-3593
高危

1. WordPress plugin Checkout Mestres do WP for WooCommerce 安全漏洞(CNNVD-202503-3729)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Checkout Mestres do WP for WooCommerce 8.6.5版本至8.7.5版本存在安全漏洞,该漏洞源于cwmpUpdateOptions函数缺少能力检查。攻击者利用该漏洞可以更新任意选项并提升权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.wordfence.com/threat-intel/vulnerabilities/id/9834fd5b-8445-4c6f-95f9-f0df785c65f8?source=cve
2. Apache Kylin 代码注入漏洞(CNNVD-202503-3381)
Apache Kylin是美国阿帕奇(Apache)基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。
Apache Kylin 4.0.0版本至5.0.1版本存在代码注入漏洞,该漏洞源于对代码生成控制不当。攻击者利用该漏洞可以远程执行代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://lists.apache.org/thread/6j19pt8yoqfphf1lprtrzoqkvz1gwbnc
3. Dell Unity 操作系统命令注入漏洞(CNNVD-202503-3593)
Dell Unity是美国戴尔(Dell)公司的一套虚拟Unity存储环境。
Dell Unity 5.4版本及之前版本存在操作系统命令注入漏洞,该漏洞源于对特殊元素中和不当。攻击者利用该漏洞可以执行代码并升级权限。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.dell.com/support/kbdoc/en-us/000300090/dsa-2025-116-security-update-for-dell-unity-dell-unityvsa-and-dell-unity-xt-security-update-for-multiple-vulnerabilities

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞20635个。

表5 本周漏洞平台推送情况

序号
漏洞平台
漏洞总量
1
补天平台
10698
2
漏洞盒子
7937
3
360漏洞云
2000
推送总计
20635

接报漏洞情况

本周CNNVD接报漏洞517个,其中信息技术产品漏洞(通用型漏洞)460个,网络信息系统漏洞(事件型漏洞)57个。

表6 本周漏洞报送情况

序号
报送单位
漏洞总量
1
个人
65
2
北京天下信安技术有限公司
61
3
华为技术有限公司
39
4
内蒙古数字安全科技有限公司
35
5
亚信科技(成都)有限公司
18
6
金盾检测技术股份有限公司
17
7
中移(苏州)软件技术有限公司
17
8
南京聚铭网络科技有限公司
16
9
远江盛邦(北京)网络安全科技股份有限公司
13
10
北京中测安华科技有限公司
13
11
内蒙古旌云科技有限公司
10
12
上海谋乐网络科技有限公司
9
13
烽台科技(北京)有限公司
8
14
北京微步在线科技有限公司
8
15
天翼数智科技(北京)有限公司
7
16
奇安信网神信息技术(北京)股份有限公司
7
17
北京安信天行科技有限公司
6
18
上海斗象信息科技有限公司
6
19
北京数智久安科技有限公司
6
20
河南悦海数安科技有限公司
6
21
广州纬安科技有限公司
6
22
广州天懋信息系统股份有限公司
5
23
云盾智慧安全科技有限公司
5
24
北京天融信网络安全技术有限公司
5
25
北京安胜华信科技有限公司
5
26
新华三技术有限公司
5
27
中资网络信息安全科技有限公司
4
28
凭阑江苏实验室科技有限公司
4
29
广州竞远安全技术股份有限公司
4
30
成都卫士通信息安全技术有限公司
4
31
途耀信息技术(上海)有限公司
4
32
三六零数字安全科技集团有限公司
4
33
上海碳泽信息科技有限公司
4
34
温州市数据集团有限公司
3
35
长沙中格创新科技有限公司
3
36
长烽数智科技(山东)有限公司
3
37
中国移动通信集团山东有限公司
3
38
北京中睿天下信息技术有限公司
3
39
锐捷网络股份有限公司
3
40
北京神州绿盟科技有限公司
3
41
北京时代新威信息技术有限公司
3
42
内蒙古长迈科技有限公司
3
43
北京艾阿无限科技有限公司
3
44
上海匡创信息技术有限公司
3
45
北京长亭科技有限公司
3
46
江西诚韬科技有限公司
3
47
华易数安科技(吉林省)有限公司
2
48
中国工程物理研究院计算机应用研究所
2
49
云南南天电子信息产业股份有限公司
2
50
中电智安科技有限公司
2
51
北京有略安全技术有限公司
2
52
西安四叶草信息技术有限公司
2
53
北京源堡科技有限公司
2
54
山西晋信安科技有限公司
2
55
浙江鑫诺检测技术有限公司
2
56
杭州美创科技股份有限公司
2
57
山东泽鹿安全技术有限公司
2
58
北京华云安信息技术有限公司
2
59
工业和信息化部电子第五研究所
2
60
广州兴服通科技有限公司
1
61
天津市兴先道科技有限公司
1
62
北京信联数安科技有限公司
1
63
联通(山东)产业互联网有限公司
1
64
中移动信息技术有限公司
1
65
北京启明星辰信息安全技术有限公司
1
66
京东科技信息技术有限公司
1
67
淮安易云科技有限公司
1
68
成都安美勤信息技术股份有限公司
1
69
北京赛博昆仑科技有限公司
1
70
广东信网数安科技有限公司
1
71
科来网络技术股份有限公司
1
72
江苏嘉恩网络安全科技有限公司
1
73
瑞数信息技术(上海)有限公司
1
74
深信服科技股份有限公司
1
75
中兴通讯股份有限公司
1
76
天翼云科技有限公司
1
77
江苏正信信息安全测试有限公司
1
78
杭州海康威视数字技术股份有限公司
1
79
浙江极安信息科技有限公司
1
80
南京赛宁信息技术有限公司
1
81
星云博创科技有限公司
1
82
北京云科安信科技有限公司
1
83
丽水安盾网络科技有限公司
1
84
重庆云立图科技有限公司
1
85
湖南红点信息安全技术有限公司
1
报送总计
517

收录漏洞通报情况

本周CNNVD收录漏洞通报240份。

表7 本周漏洞通报情况

序号
报送单位
通报总量
1
奇安信网神信息技术(北京)股份有限公司
23
2
华为技术有限公司
22
3
中孚安全技术有限公司
12
4
金盾检测技术股份有限公司
8
5
京东科技信息技术有限公司
6
6
亚信科技(成都)有限公司
6
7
北京华云安信息技术有限公司
5
8
中移(苏州)软件技术有限公司
5
9
北京微步在线科技有限公司
5
10
上饶市禾安信息科技有限公司
4
11
南京聚铭网络科技有限公司
4
12
天翼数智科技(北京)有限公司
4
13
武汉零度信安信息技术有限公司
4
14
深圳市网安计算机安全检测技术有限公司
4
15
内蒙古大唐国际托克托发电有限责任公司
4
16
烽台科技(北京)有限公司
4
17
泉州延陵信息技术有限公司
4
18
广州纬安科技有限公司
4
19
北京天融信网络安全技术有限公司
3
20
中国银联股份有限公司
3
21
安徽数安系统集成有限公司
3
22
长沙中格创新科技有限公司
3
23
山西晋信安科技有限公司
3
24
南京南自数安技术有限公司
3
25
塞讯信息技术(上海)有限公司
3
26
北京长亭科技有限公司
3
27
北京网藤科技有限公司
3
28
联通(山东)产业互联网有限公司
3
29
山东正中信息技术股份有限公司
3
30
安徽溯源电子科技有限公司
3
31
深信服科技股份有限公司
3
32
中國通信服務香港有限公司
3
33
维安(山东)数字技术有限公司
3
34
北京神州绿盟科技有限公司
3
35
北京赛博昆仑科技有限公司
3
36
博智安全科技股份有限公司
3
37
广东颐点科技有限公司
3
38
成都卫士通信息安全技术有限公司
2
39
云南南天电子信息产业股份有限公司
2
40
贵州粟字科技有限公司
2
41
新华三技术有限公司
2
42
合肥善达信息科技有限公司
2
43
星云博创科技有限公司
2
44
北京五一嘉峪科技有限公司
2
45
自動系統(香港)有限公司
2
46
西安交大捷普网络科技有限公司
2
47
北京艾阿无限科技有限公司
2
48
长扬科技(北京)股份有限公司
2
49
远江盛邦(北京)网络安全科技股份有限公司
2
50
北京天下信安技术有限公司
2
51
浙江大华技术股份有限公司
1
52
中国电信股份有限公司网络安全产品运营中心
1
53
工业和信息化部电子第五研究所
1
54
内蒙古启正信息科技有限公司
1
55
中国移动通信集团山东有限公司
1
56
北京知道创宇信息技术股份有限公司
1
57
北京国科数安科技有限公司
1
58
北京有略安全技术有限公司
1
59
杭州迪普科技股份有限公司
1
60
贵州蓝天创新科技有限公司
1
61
深圳融安网络科技有限公司
1
62
上海今点软件有限公司
1
63
山东乾云启创信息科技股份有限公司
1
64
北京众安天下科技有限公司
1
65
江苏正信信息安全测试有限公司
1
66
北京金睛云华科技有限公司
1
67
西安安迈信科科技有限公司
1
68
江苏嘉恩网络安全科技有限公司
1
69
途耀信息技术(上海)有限公司
1
70
广东财贸职业学院
1
71
新基信息技术集团股份有限公司
1
72
广东信网数安科技有限公司
1
73
长烽数智科技(山东)有限公司
1
74
北京安天网络安全技术有限公司
1
75
重庆云立图科技有限公司
1
76
山东新潮信息技术有限公司
1
77
西安隆基智能技术有限公司
1
78
道普信息技术有限公司
1
79
四川诚安数科信息科技有限公司
1
收录总计
240
信息安全漏洞周报(2025年第13期)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞周报(2025年第13期)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月2日22:23:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞周报(2025年第13期)https://cn-sec.com/archives/3907507.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息