您所在的位置: 首页 >
安全研究 >
安全通告 >
信息安全漏洞周报(2023年第19期)
CNNVD信息安全漏洞周报(2023年第19期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2023年5月8日至2023年5月14日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞799个。
接报漏洞情况
本周CNNVD接报漏洞4386个,其中信息技术产品漏洞(通用型漏洞)175个,网络信息系统漏洞(事件型漏洞)136个,漏洞平台推送漏洞4075个。
重大漏洞通报
微软多个安全漏洞:包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据、提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞799个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有102个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到16.90%。新增漏洞中,超危漏洞48个,高危漏洞190个,中危漏洞525个,低危漏洞36个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞799个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有102个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
本周国内厂商漏洞100个,紫光展锐公司漏洞数量最多,有66个。国内厂商漏洞整体修复率为83.00%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到16.90%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞48个,高危漏洞190个,中危漏洞525个,低危漏洞36个。相应修复率分别为77.08%、89.47%、82.10%和91.67%。根据补丁信息统计,合计671个漏洞已有修复补丁发布,整体修复率为83.98%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
1. Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749)
Microsoft Windows Network File System是美国微软(Microsoft)公司的一种文件共享解决方案,可使用NFS协议在Windows Server和UNIX操作系统的计算机之间传输文件。
Microsoft Windows Network File System存在安全漏洞。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响:Windows Server 2019,Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation)。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24941
2. WordPress plugin Avirato hotels online booking engine SQL注入漏洞(CNNVD-202305-417)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Avirato hotels online booking engine 5.0.5版本及之前版本存在SQL注入漏洞,该漏洞源于在拼接SQL语句之前没有对某些属性进行转义或清理,从而导致SQL注入。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wpscan.com/vulnerability/03d061b4-1b71-44f5-b3dc-f82a5fcd92eb
3. Intel Data Center Manager 安全漏洞(CNNVD-202305-807)
Intel Data Center Manager是美国英特尔(Intel)公司的一种软件解决方案。可收集和分析数据中心内各种设备的实时运行状况、功率和热量。
Intel Data Center Manager 5.1之前版本存在安全漏洞,该漏洞源于软件将敏感信息存储在不安全的位置。攻击者利用该漏洞可以升级权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00806.html
二、漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞4075个。
三、接报漏洞情况
本周CNNVD接报漏洞311个,其中信息技术产品漏洞(通用型漏洞)175个,网络信息系统漏洞(事件型漏洞)136个。
(详情略)
四、收录漏洞通报情况
本周CNNVD收录漏洞通报102份。
(详情略)
五、重大漏洞通报
CNNVD关于微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞51个,影响到微软产品的其他厂商漏洞1个。包括Microsoft Windows Network File System 安全漏洞(CNNVD-202305-749、CVE-2023-24941)、Microsoft Windows PGM 安全漏洞(CNNVD-202305-747、CVE-2023-24943)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
1、漏洞介绍
2023年5月9日,微软发布了2023年5月份安全更新,共52个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了Microsoft Windows 和 Windows 组件、Microsoft Bluetooth Driver、Microsoft Teams、Microsoft Windows Win32K、Microsoft Remote Desktop Client、Microsoft Windows Codecs Library等。CNNVD对其危害等级进行了评价,其中超危漏洞3个,高危漏洞32个,中危漏洞16个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问微软官方网站查询:
https://portal.msrc.microsoft.com/zh-cn/security-guidance
2、危害影响
此次更新共包括38个新增漏洞的补丁程序,其中超危漏洞2个,高危漏洞24个,中危漏洞11个,低危漏洞1个。
(详情略)
此次更新共包括13个更新漏洞的补丁程序,其中超危漏洞1个,高危漏洞8个,中危漏洞4个。
(详情略)
此次更新共包括1个影响微软产品的其他厂商漏洞的补丁程序,其中中危漏洞1个。
(详情略)
3、修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
来源:CNNVD安全动态