查看: 15098|回复: 0

信息安全漏洞周报(2023年第17期)

[复制链接]
匿名
匿名  发表于 2023-5-6 15:58:39 |阅读模式
      根据国家信息安全漏洞库(CNNVD)统计,本周(2023年4月24日至2023年4月30日)安全漏洞情况如下:

公开漏洞情况

本周CNNVD采集安全漏洞344个。

接报漏洞情况

本周CNNVD接报漏洞4072个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个,漏洞平台推送漏洞3783个。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞344个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有41个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到19.19%。新增漏洞中,超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。
(一) 安全漏洞增长数量情况
      本周CNNVD采集安全漏洞344个。

qw1.jpg

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有41个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

WordPress基金会

41

11.92%

2

Pimcore

15

4.36%

3

Odoo

15

4.36%

4

IBM

14

4.07%

5

合勤科技

11

3.20%

      本周国内厂商漏洞31个,合勤科技公司漏洞数量最多,有11个。国内厂商漏洞整体修复率为61.29%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到19.19%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

66

19.19%

2

缓冲区错误

15

4.36%

3

SQL注入

14

4.07%

4

代码问题

13

3.78%

5

路径遍历

9

2.62%

6

输入验证错误

9

2.62%

7

跨站请求伪造

8

2.33%

8

信息泄露

5

1.45%

9

操作系统命令注入

5

1.45%

10

命令注入

5

1.45%

11

授权问题

3

0.87%

12

数字错误

3

0.87%

13

注入

2

0.58%

14

访问控制错误

2

0.58%

15

资源管理错误

1

0.29%

16

日志信息泄露

1

0.29%

17

代码注入

1

0.29%

18

权限许可和访问控制问题

1

0.29%

19

格式化字符串错误

1

0.29%

20

其他

180

52.33%
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。相应修复率分别为58.33%、84.69%、78.86%和63.64%。根据补丁信息统计,合计263个漏洞已有修复补丁发布,整体修复率为76.45%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号

危害等级

漏洞数量(个)

修复数量(个)

修复率

1

超危

60

35

58.33%

2

高危

98

83

84.69%

3

中危

175

138

78.86%

4

低危

11

7

63.64%

合计

344

263

76.45%
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号

漏洞

漏洞编号

厂商

漏洞实例

是否修复

危害等级

类型

1

SQL注入

CNNVD-202304-1928

WordPress基金会

WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞



超危

2

其他

CNNVD-202304-1978

Apache基金会

Apache Jena 安全漏洞



高危

3

代码问题

CNNVD-202304-2153

IBM

IBM Cloud Pak for Data 代码问题漏洞



高危

1. WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞(CNNVD-202304-1928)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Steveas WP Live Chat Shoutbox 1.4.2版本及之前版本存在SQL注入漏洞,该漏洞源于程序未对用户输入的参数进行清理和转义,攻击者利用该漏洞可以执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://wpscan.com/vulnerability/4e5aa9a3-65a0-47d6-bc26-a2fb6cb073ff

2. Apache Jena 安全漏洞(CNNVD-202304-1978)

Apache Jena是美国阿帕奇(Apache)基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。

Apache Jena 4.7.0版本及之前版本存在安全漏洞,该漏洞源于程序对用户输入的SQL查询语句检查不充分导致,攻击者利用该漏洞通过SPARQL查询可执行任意javascript代码。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://lists.apache.org/thread/s0dmpsxcwqs57l4qfs415klkgmhdxq7s

3. IBM Cloud Pak for Data 代码问题漏洞(CNNVD-202304-2153)

IBM Cloud Pak for Data是美国国际商业机器(IBM)公司的一种云原生解决方案,可以让客户快速高效地使用数据和分析数据。

IBM Cloud Pak for Data 4.0版本和4.5版本存在代码问题漏洞。经过身份验证的攻击者利用该漏洞可以从系统发送未经授权的请求,从而导致网络枚举或执行服务器端请求伪造攻击。

目前厂商已发布升级补丁以修复漏洞,参考链接:

https://www.ibm.com/support/pages/node/6985859

二、漏洞平台推送情况

       本周CNNVD接收漏洞平台推送漏洞3783个。

序号

漏洞平台

漏洞总量

1

漏洞盒子

1529

2

补天平台

1361

3

360漏洞云

893

推送总计

3783

三、接报漏洞情况

本周CNNVD接报漏洞289个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个。

序号

报送单位

漏洞总量

1

北京华云安信息技术有限公司

69

2

北京启明星辰信息安全技术有限公司

24

3

道普信息技术有限公司

22

4

个人

22

5

广州锦行网络科技有限公司

20

6

星云博创科技有限公司

20

7

北京锐服信科技有限公司

16

8

杭州海康威视数字技术股份有限公司

15

9

杭州安恒信息技术股份有限公司

12

10

北京山石网科信息技术有限公司

10

11

奇安信网神信息技术(北京)股份有限公司

5

12

任子行网络技术股份有限公司

5

13

烽台科技(北京)有限公司

4

14

广州竞远安全技术股份有限公司

4

15

上海上讯信息技术股份有限公司

4

16

中国联合网络通信有限公司福建省分公司

4

17

北京升鑫网络科技有限公司

3

18

快页信息技术有限公司

3

19

北京威努特技术有限公司

2

20

北京信联数安科技有限公司

2

21

北京长亭科技有限公司

2

22

北京智游网安科技有限公司

2

23

赛尔网络有限公司

2

24

上海斗象信息科技有限公司

2

25

上海谋乐网络科技有限公司

2

26

新华三技术有限公司

2

27

安徽长泰科技有限公司

1

28

北京五一嘉峪科技有限公司

1

29

博智安全科技股份有限公司

1

30

超聚变数字技术有限公司

1

31

贵州数创控股(集团)有限公司

1

32

杭州默安科技有限公司

1

33

江苏金盾检测技术股份有限公司

1

34

南京铱迅信息技术股份有限公司

1

35

厦门服云信息科技有限公司

1

36

上海诚墙网络信息有限公司

1

37

天津市兴先道科技有限公司

1

报送总计

289

四、收录漏洞通报情况

     本周CNNVD收录漏洞通报56份。

序号

报送单位

通报总量

1

北京锐服信科技有限公司

9

2

沈阳东软系统集成工程有限公司

8

3

南京禾盾信息科技有限公司

5

4

天津市兴先道科技有限公司

3

5

新华三技术有限公司

3

6

北京安信天行科技有限公司

2

7

北京华云安信息技术有限公司

2

8

北京木链智联科技有限公司

2

9

北京山石网科信息技术有限公司

2

10

北京网藤科技有限公司

2

11

北京智游网安科技有限公司

2

12

北京启明星辰信息安全技术有限公司

1

13

北京神州绿盟科技有限公司

1

14

北京知道创宇信息技术股份有限公司

1

15

烽台科技(北京)有限公司

1

16

杭州迪普科技股份有限公司

1

17

杭州中电安科现代科技有限公司

1

18

河南悦海数安科技有限公司

1

19

华为技术有限公司

1

20

江苏金盾检测技术股份有限公司

1

21

锐捷网络股份有限公司

1

22

上海安识网络科技有限公司

1

23

上海斗象信息科技有限公司

1

24

苏州棱镜七彩信息科技有限公司

1

25

远江盛邦(北京)网络安全科技股份有限公司

1

26

中孚安全技术有限公司

1

27

中兴通讯股份有限公司

1

收录总计

56



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-18 16:19 , Processed in 0.026678 second(s), 13 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部