Anonymous 发表于 2023-5-6 15:58:39

信息安全漏洞周报(2023年第17期)

      根据国家信息安全漏洞库(CNNVD)统计,本周(2023年4月24日至2023年4月30日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞344个。

接报漏洞情况

本周CNNVD接报漏洞4072个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个,漏洞平台推送漏洞3783个。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞344个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有41个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到19.19%。新增漏洞中,超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。
(一) 安全漏洞增长数量情况
      本周CNNVD采集安全漏洞344个。



图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有41个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

WordPress基金会

41

11.92%


2

Pimcore

15

4.36%


3

Odoo

15

4.36%


4

IBM

14

4.07%


5

合勤科技

11

3.20%


      本周国内厂商漏洞31个,合勤科技公司漏洞数量最多,有11个。国内厂商漏洞整体修复率为61.29%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到19.19%。漏洞类型统计如表2所示。

表2 漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

跨站脚本

66

19.19%


2

缓冲区错误

15

4.36%


3

SQL注入

14

4.07%


4

代码问题

13

3.78%


5

路径遍历

9

2.62%


6

输入验证错误

9

2.62%


7

跨站请求伪造

8

2.33%


8

信息泄露

5

1.45%


9

操作系统命令注入

5

1.45%


10

命令注入

5

1.45%


11

授权问题

3

0.87%


12

数字错误

3

0.87%


13

注入

2

0.58%


14

访问控制错误

2

0.58%


15

资源管理错误

1

0.29%


16

日志信息泄露

1

0.29%


17

代码注入

1

0.29%


18

权限许可和访问控制问题

1

0.29%


19

格式化字符串错误

1

0.29%


20

其他

180

52.33%

(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。相应修复率分别为58.33%、84.69%、78.86%和63.64%。根据补丁信息统计,合计263个漏洞已有修复补丁发布,整体修复率为76.45%。详细情况如表3所示。

表3 漏洞危害等级与修复情况


序号

危害等级

漏洞数量(个)

修复数量(个)

修复率


1

超危

60

35

58.33%


2

高危

98

83

84.69%


3

中危

175

138

78.86%


4

低危

11

7

63.64%


合计

344

263

76.45%

(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例


序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级


类型


1

SQL注入

CNNVD-202304-1928

WordPress基金会

WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞



超危


2

其他

CNNVD-202304-1978

Apache基金会

Apache Jena 安全漏洞



高危


3

代码问题

CNNVD-202304-2153

IBM

IBM Cloud Pak for Data 代码问题漏洞



高危


1. WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞(CNNVD-202304-1928)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Steveas WP Live Chat Shoutbox 1.4.2版本及之前版本存在SQL注入漏洞,该漏洞源于程序未对用户输入的参数进行清理和转义,攻击者利用该漏洞可以执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://wpscan.com/vulnerability/4e5aa9a3-65a0-47d6-bc26-a2fb6cb073ff

2. Apache Jena 安全漏洞(CNNVD-202304-1978)

Apache Jena是美国阿帕奇(Apache)基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。

Apache Jena 4.7.0版本及之前版本存在安全漏洞,该漏洞源于程序对用户输入的SQL查询语句检查不充分导致,攻击者利用该漏洞通过SPARQL查询可执行任意javascript代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://lists.apache.org/thread/s0dmpsxcwqs57l4qfs415klkgmhdxq7s

3. IBM Cloud Pak for Data 代码问题漏洞(CNNVD-202304-2153)

IBM Cloud Pak for Data是美国国际商业机器(IBM)公司的一种云原生解决方案,可以让客户快速高效地使用数据和分析数据。

IBM Cloud Pak for Data 4.0版本和4.5版本存在代码问题漏洞。经过身份验证的攻击者利用该漏洞可以从系统发送未经授权的请求,从而导致网络枚举或执行服务器端请求伪造攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/6985859

二、漏洞平台推送情况

       本周CNNVD接收漏洞平台推送漏洞3783个。


序号

漏洞平台

漏洞总量


1

漏洞盒子

1529


2

补天平台

1361


3

360漏洞云

893


推送总计

3783


三、接报漏洞情况

本周CNNVD接报漏洞289个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个。


序号

报送单位

漏洞总量


1

北京华云安信息技术有限公司

69


2

北京启明星辰信息安全技术有限公司

24


3

道普信息技术有限公司

22


4

个人

22


5

广州锦行网络科技有限公司

20


6

星云博创科技有限公司

20


7

北京锐服信科技有限公司

16


8

杭州海康威视数字技术股份有限公司

15


9

杭州安恒信息技术股份有限公司

12


10

北京山石网科信息技术有限公司

10


11

奇安信网神信息技术(北京)股份有限公司

5


12

任子行网络技术股份有限公司

5


13

烽台科技(北京)有限公司

4


14

广州竞远安全技术股份有限公司

4


15

上海上讯信息技术股份有限公司

4


16

中国联合网络通信有限公司福建省分公司

4


17

北京升鑫网络科技有限公司

3


18

快页信息技术有限公司

3


19

北京威努特技术有限公司

2


20

北京信联数安科技有限公司

2


21

北京长亭科技有限公司

2


22

北京智游网安科技有限公司

2


23

赛尔网络有限公司

2


24

上海斗象信息科技有限公司

2


25

上海谋乐网络科技有限公司

2


26

新华三技术有限公司

2


27

安徽长泰科技有限公司

1


28

北京五一嘉峪科技有限公司

1


29

博智安全科技股份有限公司

1


30

超聚变数字技术有限公司

1


31

贵州数创控股(集团)有限公司

1


32

杭州默安科技有限公司

1


33

江苏金盾检测技术股份有限公司

1


34

南京铱迅信息技术股份有限公司

1


35

厦门服云信息科技有限公司

1


36

上海诚墙网络信息有限公司

1


37

天津市兴先道科技有限公司

1


报送总计

289


四、收录漏洞通报情况

   本周CNNVD收录漏洞通报56份。


序号

报送单位

通报总量


1

北京锐服信科技有限公司

9


2

沈阳东软系统集成工程有限公司

8


3

南京禾盾信息科技有限公司

5


4

天津市兴先道科技有限公司

3


5

新华三技术有限公司

3


6

北京安信天行科技有限公司

2


7

北京华云安信息技术有限公司

2


8

北京木链智联科技有限公司

2


9

北京山石网科信息技术有限公司

2


10

北京网藤科技有限公司

2


11

北京智游网安科技有限公司

2


12

北京启明星辰信息安全技术有限公司

1


13

北京神州绿盟科技有限公司

1


14

北京知道创宇信息技术股份有限公司

1


15

烽台科技(北京)有限公司

1


16

杭州迪普科技股份有限公司

1


17

杭州中电安科现代科技有限公司

1


18

河南悦海数安科技有限公司

1


19

华为技术有限公司

1


20

江苏金盾检测技术股份有限公司

1


21

锐捷网络股份有限公司

1


22

上海安识网络科技有限公司

1


23

上海斗象信息科技有限公司

1


24

苏州棱镜七彩信息科技有限公司

1


25

远江盛邦(北京)网络安全科技股份有限公司

1


26

中孚安全技术有限公司

1


27

中兴通讯股份有限公司

1


收录总计

56




页: [1]
查看完整版本: 信息安全漏洞周报(2023年第17期)