您所在的位置: 首頁 >
安全研究 >
安全通告 >
信息安全漏洞周報(bào)(2023年第19期)
CNNVD信息安全漏洞周報(bào)(2023年第19期)
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計(jì),本周(2023年5月8日至2023年5月14日)安全漏洞情況如下:
公開漏洞情況
本周CNNVD采集安全漏洞799個。
接報(bào)漏洞情況
本周CNNVD接報(bào)漏洞4386個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)175個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)136個,漏洞平臺推送漏洞4075個。
重大漏洞通報(bào)
微軟多個安全漏洞:包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù)、提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
一、公開漏洞情況
根據(jù)國家信息安全漏洞庫(CNNVD)統(tǒng)計(jì),本周新增安全漏洞799個,漏洞新增數(shù)量有所上升。從廠商分布來看WordPress基金會新增漏洞最多,有102個;從漏洞類型來看,跨站腳本類的安全漏洞占比最大,達(dá)到16.90%。新增漏洞中,超危漏洞48個,高危漏洞190個,中危漏洞525個,低危漏洞36個。
(一) 安全漏洞增長數(shù)量情況
本周CNNVD采集安全漏洞799個。
圖1 近五周漏洞新增數(shù)量統(tǒng)計(jì)圖
(二) 安全漏洞分布情況
從廠商分布來看,WordPress基金會新增漏洞最多,有102個。各廠商漏洞數(shù)量分布如表1所示。
表1 新增安全漏洞排名前五廠商統(tǒng)計(jì)表
本周國內(nèi)廠商漏洞100個,紫光展銳公司漏洞數(shù)量最多,有66個。國內(nèi)廠商漏洞整體修復(fù)率為83.00%。請受影響用戶關(guān)注廠商修復(fù)情況,及時下載補(bǔ)丁修復(fù)漏洞。
從漏洞類型來看, 跨站腳本類的安全漏洞占比最大,達(dá)到16.90%。漏洞類型統(tǒng)計(jì)如表2所示。
表2 漏洞類型統(tǒng)計(jì)表
(三) 安全漏洞危害等級與修復(fù)情況
本周共發(fā)布超危漏洞48個,高危漏洞190個,中危漏洞525個,低危漏洞36個。相應(yīng)修復(fù)率分別為77.08%、89.47%、82.10%和91.67%。根據(jù)補(bǔ)丁信息統(tǒng)計(jì),合計(jì)671個漏洞已有修復(fù)補(bǔ)丁發(fā)布,整體修復(fù)率為83.98%。詳細(xì)情況如表3所示。
表3 漏洞危害等級與修復(fù)情況
(四) 本周重要漏洞實(shí)例
本周重要漏洞實(shí)例如表4所示。
表4 本期重要漏洞實(shí)例
1. Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749)
Microsoft Windows Network File System是美國微軟(Microsoft)公司的一種文件共享解決方案,可使用NFS協(xié)議在Windows Server和UNIX操作系統(tǒng)的計(jì)算機(jī)之間傳輸文件。
Microsoft Windows Network File System存在安全漏洞。攻擊者利用該漏洞可以遠(yuǎn)程執(zhí)行代碼。以下產(chǎn)品和版本受到影響:Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941
2. WordPress plugin Avirato hotels online booking engine SQL注入漏洞(CNNVD-202305-417)
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。
WordPress plugin Avirato hotels online booking engine 5.0.5版本及之前版本存在SQL注入漏洞,該漏洞源于在拼接SQL語句之前沒有對某些屬性進(jìn)行轉(zhuǎn)義或清理,從而導(dǎo)致SQL注入。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://wpscan.com/vulnerability/03d061b4-1b71-44f5-b3dc-f82a5fcd92eb
3. Intel Data Center Manager 安全漏洞(CNNVD-202305-807)
Intel Data Center Manager是美國英特爾(Intel)公司的一種軟件解決方案??墒占头治鰯?shù)據(jù)中心內(nèi)各種設(shè)備的實(shí)時運(yùn)行狀況、功率和熱量。
Intel Data Center Manager 5.1之前版本存在安全漏洞,該漏洞源于軟件將敏感信息存儲在不安全的位置。攻擊者利用該漏洞可以升級權(quán)限。
目前廠商已發(fā)布升級補(bǔ)丁以修復(fù)漏洞,參考鏈接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00806.html
二、漏洞平臺推送情況
本周CNNVD接收漏洞平臺推送漏洞4075個。
三、接報(bào)漏洞情況
本周CNNVD接報(bào)漏洞311個,其中信息技術(shù)產(chǎn)品漏洞(通用型漏洞)175個,網(wǎng)絡(luò)信息系統(tǒng)漏洞(事件型漏洞)136個。
(詳情略)
四、收錄漏洞通報(bào)情況
本周CNNVD收錄漏洞通報(bào)102份。
(詳情略)
五、重大漏洞通報(bào)
CNNVD關(guān)于微軟多個安全漏洞的通報(bào)
近日,微軟官方發(fā)布了多個安全漏洞的公告,其中微軟產(chǎn)品本身漏洞51個,影響到微軟產(chǎn)品的其他廠商漏洞1個。包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多個漏洞。成功利用上述漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼、獲取用戶數(shù)據(jù),提升權(quán)限等。微軟多個產(chǎn)品和系統(tǒng)受漏洞影響。目前,微軟官方已經(jīng)發(fā)布了漏洞修復(fù)補(bǔ)丁,建議用戶及時確認(rèn)是否受到漏洞影響,盡快采取修補(bǔ)措施。
1、漏洞介紹
2023年5月9日,微軟發(fā)布了2023年5月份安全更新,共52個漏洞的補(bǔ)丁程序,CNNVD對這些漏洞進(jìn)行了收錄。本次更新主要涵蓋了Microsoft Windows 和 Windows 組件、Microsoft Bluetooth Driver、Microsoft Teams、Microsoft Windows Win32K、Microsoft Remote Desktop Client、Microsoft Windows Codecs Library等。CNNVD對其危害等級進(jìn)行了評價,其中超危漏洞3個,高危漏洞32個,中危漏洞16個,低危漏洞1個。微軟多個產(chǎn)品和系統(tǒng)版本受漏洞影響,具體影響范圍可訪問微軟官方網(wǎng)站查詢:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
2、危害影響
此次更新共包括38個新增漏洞的補(bǔ)丁程序,其中超危漏洞2個,高危漏洞24個,中危漏洞11個,低危漏洞1個。
(詳情略)
此次更新共包括13個更新漏洞的補(bǔ)丁程序,其中超危漏洞1個,高危漏洞8個,中危漏洞4個。
(詳情略)
此次更新共包括1個影響微軟產(chǎn)品的其他廠商漏洞的補(bǔ)丁程序,其中中危漏洞1個。
(詳情略)
3、修復(fù)建議
目前,微軟官方已經(jīng)發(fā)布補(bǔ)丁修復(fù)了上述漏洞,建議用戶及時確認(rèn)漏洞影響,盡快采取修補(bǔ)措施。微軟官方補(bǔ)丁下載地址:
https://msrc.microsoft.com/update-guide/en-us
來源:CNNVD安全動態(tài)