您所在的位置: 首页 >
安全研究 >
安全通告 >
信息安全漏洞周报(2023年第33期)
根据国家信息安全漏洞库(CNNVD)统计,本周(2023年8月14日至2023年8月20日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞484个。
接报漏洞情况
本周CNNVD接报漏洞20770个,其中信息技术产品漏洞(通用型漏洞)130个,网络信息系统漏洞(事件型漏洞)10个,漏洞平台推送漏洞20630个。
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞484个,漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多,有72个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到17.15%。新增漏洞中,超危漏洞38个,高危漏洞140个,中危漏洞294个,低危漏洞12个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞484个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有72个。各厂商漏洞数量分布如表1所示。
本周国内厂商漏洞47个,摩莎公司漏洞数量最多,有9个。国内厂商漏洞整体修复率为57.45%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看, 跨站脚本类的安全漏洞占比最大,达到17.15%。漏洞类型统计如表2所示。
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞38个,高危漏洞140个,中危漏洞294个,低危漏洞12个。相应修复率分别为60.53%、75.71%、78.23%和58.33%。根据补丁信息统计,合计366个漏洞已有修复补丁发布,整体修复率为75.62%。详细情况如表3所示。
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
1.IBM Security Guardium 安全漏洞(CNNVD-202308-1481)
IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。
IBM Security Guardium 10.6版本、11.3版本、11.4版本、11.5版本存在安全漏洞。攻击者利用该漏洞通过发送特制请求在系统上执行任意命令。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.ibm.com/support/pages/node/7027853
2.Google Chrome 安全漏洞(CNNVD-202308-1387)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。
Google Chrome 116.0.5845.96之前版本存在安全漏洞,该漏洞源于设备信任连接器中存在内存释放后重用问题。攻击者利用该漏洞通过特制的HTML导致堆损坏,从而强制关闭浏览器。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html
3.WordPress plugin Remote Users Sync 代码问题漏洞(CNNVD-202308-1402)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Remote Users Sync 1.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞可以向应用程序的任意位置发送web请求,并查询和修改内部服务信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://wordpress.org/plugins/wp-remote-users-sync/
二、漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞20630个。
三、接报漏洞情况
本周CNNVD接报漏洞140个,其中信息技术产品漏洞(通用型漏洞)130个,网络信息系统漏洞(事件型漏洞)10个。
表6 本周漏洞报送情况(略)
四、收录漏洞通报情况
本周CNNVD收录漏洞通报64份。
表7本周漏洞通报情况(略)
来源:CNNVD安全动态