信息安全漏洞周报(2023年第17期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2023年4月24日至2023年4月30日)安全漏洞情况如下:公开漏洞情况
本周CNNVD采集安全漏洞344个。
接报漏洞情况
本周CNNVD接报漏洞4072个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个,漏洞平台推送漏洞3783个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞344个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有41个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到19.19%。新增漏洞中,超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞344个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有41个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
41
11.92%
2
Pimcore
15
4.36%
3
Odoo
15
4.36%
4
IBM
14
4.07%
5
合勤科技
11
3.20%
本周国内厂商漏洞31个,合勤科技公司漏洞数量最多,有11个。国内厂商漏洞整体修复率为61.29%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到19.19%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
66
19.19%
2
缓冲区错误
15
4.36%
3
SQL注入
14
4.07%
4
代码问题
13
3.78%
5
路径遍历
9
2.62%
6
输入验证错误
9
2.62%
7
跨站请求伪造
8
2.33%
8
信息泄露
5
1.45%
9
操作系统命令注入
5
1.45%
10
命令注入
5
1.45%
11
授权问题
3
0.87%
12
数字错误
3
0.87%
13
注入
2
0.58%
14
访问控制错误
2
0.58%
15
资源管理错误
1
0.29%
16
日志信息泄露
1
0.29%
17
代码注入
1
0.29%
18
权限许可和访问控制问题
1
0.29%
19
格式化字符串错误
1
0.29%
20
其他
180
52.33%
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞60个,高危漏洞98个,中危漏洞175个,低危漏洞11个。相应修复率分别为58.33%、84.69%、78.86%和63.64%。根据补丁信息统计,合计263个漏洞已有修复补丁发布,整体修复率为76.45%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
序号
危害等级
漏洞数量(个)
修复数量(个)
修复率
1
超危
60
35
58.33%
2
高危
98
83
84.69%
3
中危
175
138
78.86%
4
低危
11
7
63.64%
合计
344
263
76.45%
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
序号
漏洞
漏洞编号
厂商
漏洞实例
是否修复
危害等级
类型
1
SQL注入
CNNVD-202304-1928
WordPress基金会
WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞
是
超危
2
其他
CNNVD-202304-1978
Apache基金会
Apache Jena 安全漏洞
是
高危
3
代码问题
CNNVD-202304-2153
IBM
IBM Cloud Pak for Data 代码问题漏洞
是
高危
1. WordPress plugin Steveas WP Live Chat Shoutbox SQL注入漏洞(CNNVD-202304-1928)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Steveas WP Live Chat Shoutbox 1.4.2版本及之前版本存在SQL注入漏洞,该漏洞源于程序未对用户输入的参数进行清理和转义,攻击者利用该漏洞可以执行SQL注入攻击。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/4e5aa9a3-65a0-47d6-bc26-a2fb6cb073ff
2. Apache Jena 安全漏洞(CNNVD-202304-1978)
Apache Jena是美国阿帕奇(Apache)基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。
Apache Jena 4.7.0版本及之前版本存在安全漏洞,该漏洞源于程序对用户输入的SQL查询语句检查不充分导致,攻击者利用该漏洞通过SPARQL查询可执行任意javascript代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lists.apache.org/thread/s0dmpsxcwqs57l4qfs415klkgmhdxq7s
3. IBM Cloud Pak for Data 代码问题漏洞(CNNVD-202304-2153)
IBM Cloud Pak for Data是美国国际商业机器(IBM)公司的一种云原生解决方案,可以让客户快速高效地使用数据和分析数据。
IBM Cloud Pak for Data 4.0版本和4.5版本存在代码问题漏洞。经过身份验证的攻击者利用该漏洞可以从系统发送未经授权的请求,从而导致网络枚举或执行服务器端请求伪造攻击。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/6985859
二、漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞3783个。
序号
漏洞平台
漏洞总量
1
漏洞盒子
1529
2
补天平台
1361
3
360漏洞云
893
推送总计
3783
三、接报漏洞情况
本周CNNVD接报漏洞289个,其中信息技术产品漏洞(通用型漏洞)118个,网络信息系统漏洞(事件型漏洞)171个。
序号
报送单位
漏洞总量
1
北京华云安信息技术有限公司
69
2
北京启明星辰信息安全技术有限公司
24
3
道普信息技术有限公司
22
4
个人
22
5
广州锦行网络科技有限公司
20
6
星云博创科技有限公司
20
7
北京锐服信科技有限公司
16
8
杭州海康威视数字技术股份有限公司
15
9
杭州安恒信息技术股份有限公司
12
10
北京山石网科信息技术有限公司
10
11
奇安信网神信息技术(北京)股份有限公司
5
12
任子行网络技术股份有限公司
5
13
烽台科技(北京)有限公司
4
14
广州竞远安全技术股份有限公司
4
15
上海上讯信息技术股份有限公司
4
16
中国联合网络通信有限公司福建省分公司
4
17
北京升鑫网络科技有限公司
3
18
快页信息技术有限公司
3
19
北京威努特技术有限公司
2
20
北京信联数安科技有限公司
2
21
北京长亭科技有限公司
2
22
北京智游网安科技有限公司
2
23
赛尔网络有限公司
2
24
上海斗象信息科技有限公司
2
25
上海谋乐网络科技有限公司
2
26
新华三技术有限公司
2
27
安徽长泰科技有限公司
1
28
北京五一嘉峪科技有限公司
1
29
博智安全科技股份有限公司
1
30
超聚变数字技术有限公司
1
31
贵州数创控股(集团)有限公司
1
32
杭州默安科技有限公司
1
33
江苏金盾检测技术股份有限公司
1
34
南京铱迅信息技术股份有限公司
1
35
厦门服云信息科技有限公司
1
36
上海诚墙网络信息有限公司
1
37
天津市兴先道科技有限公司
1
报送总计
289
四、收录漏洞通报情况
本周CNNVD收录漏洞通报56份。
序号
报送单位
通报总量
1
北京锐服信科技有限公司
9
2
沈阳东软系统集成工程有限公司
8
3
南京禾盾信息科技有限公司
5
4
天津市兴先道科技有限公司
3
5
新华三技术有限公司
3
6
北京安信天行科技有限公司
2
7
北京华云安信息技术有限公司
2
8
北京木链智联科技有限公司
2
9
北京山石网科信息技术有限公司
2
10
北京网藤科技有限公司
2
11
北京智游网安科技有限公司
2
12
北京启明星辰信息安全技术有限公司
1
13
北京神州绿盟科技有限公司
1
14
北京知道创宇信息技术股份有限公司
1
15
烽台科技(北京)有限公司
1
16
杭州迪普科技股份有限公司
1
17
杭州中电安科现代科技有限公司
1
18
河南悦海数安科技有限公司
1
19
华为技术有限公司
1
20
江苏金盾检测技术股份有限公司
1
21
锐捷网络股份有限公司
1
22
上海安识网络科技有限公司
1
23
上海斗象信息科技有限公司
1
24
苏州棱镜七彩信息科技有限公司
1
25
远江盛邦(北京)网络安全科技股份有限公司
1
26
中孚安全技术有限公司
1
27
中兴通讯股份有限公司
1
收录总计
56
页:
[1]