您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(2023年第12期)
(2023年3月20日至2023年3月26日)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周(2023年3月20日至2023年3月26日)安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞582個。
接報漏洞情況
本周CNNVD接報漏洞17541個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)141個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)333個,漏洞平臺推送漏洞17067個。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計,本周新增安全漏洞582個,漏洞新增數(shù)量有所上升。從廠商分布來看谷歌公司新增漏洞最多,有140個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達到11.17%。新增漏洞中,超危漏洞56個,高危漏洞137個,中危漏洞382個,低危漏洞7個。
(一) 安全漏洞增長數(shù)量情況
本周CNNVD采集安全漏洞582個。
圖1 近五周漏洞新增數(shù)量統(tǒng)計圖
(二) 安全漏洞分布情況
從廠商分布來看,谷歌公司新增漏洞最多,有140個。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計表
本周國內(nèi)廠商漏洞27個,吉翁電子公司漏洞數(shù)量最多,有8個。國內(nèi)廠商漏洞整體修復(fù)率為40.74%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達到11.17%。漏洞類型統(tǒng)計如表2所示。
表2 漏洞類型統(tǒng)計表
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞56個,高危漏洞137個,中危漏洞382個,低危漏洞7個。相應(yīng)修復(fù)率分別為64.29%、78.83%、82.72%和100.00%。根據(jù)補丁信息統(tǒng)計,合計467個漏洞已有修復(fù)補丁發(fā)布,整體修復(fù)率為80.24%。詳細情況如表3所示。
表3 漏洞危害等級與修復(fù)情況
(四) 本周重要漏洞實例
本周重要漏洞實例如表4所示。
表4 本期重要漏洞實例
1. WordPress Plugin 404like SQL注入漏洞(CNNVD-202303-1522)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress Plugin 404like 1.0.2版本及之前版本存在SQL注入漏洞,該漏洞源于程序?qū)?shù)searchWord的處理不當(dāng)導(dǎo)致。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://github.com/wp-plugins/404like/releases/tag/1.1.0
2. IBM Aspera 代碼問題漏洞(CNNVD-202303-1637)
IBM Aspera是美國國際商業(yè)機器(IBM)公司的一套基于IBM FASP協(xié)議構(gòu)建的快速文件傳輸和流解決方案。
IBM Aspera Faspex 4.4.2版本存在代碼問題漏洞,該漏洞源于在處理XML數(shù)據(jù)時容易受到XML外部實體注入攻擊。攻擊者利用該漏洞可以執(zhí)行任意命令。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://www.ibm.com/support/pages/node/6964694
3. Apache OpenOffice 參數(shù)注入漏洞(CNNVD-202303-1952)
Apache OpenOffice是美國阿帕奇(Apache)基金會的一款開源的辦公軟件套件。該套件包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫等。
Apache OpenOffice documents存在參數(shù)注入漏洞。攻擊者利用該漏洞通過使用任意參數(shù)調(diào)用內(nèi)部宏的鏈接,激活鏈接后,可以執(zhí)行任意腳本。
目前廠商已發(fā)布升級補丁以修復(fù)漏洞,參考鏈接:
https://lists.apache.org/thread/xr6tl91jj2jgcq8pdbrc4d8w13s6xn80
二、漏洞平臺推送情況
本周CNNVD接收漏洞平臺推送漏洞17067個。
三、接報漏洞情況
本周CNNVD接報漏洞474個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)141個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)333個。
(詳情略)
四、收錄漏洞通報情況
本周CNNVD收錄漏洞通報112份。
(詳情略)
來源:CNNVD安全動態(tài)