漏洞情况

根据安全漏洞库(CNNVD)统计，本周(2024年9月9日至2024年9月15日)安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞713个。

接报漏洞情况

本周CNNVD接报漏洞28582个，其中信息技术产品漏洞(通用型漏洞)191个，网络信息系统漏洞(事件型漏洞)75个，漏洞平台推送漏洞28316个。

重大漏洞通报

GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)：攻击者可以利用漏洞绕过身份验证，导致软件项目仓库数据泄露，进而攻陷服务器。GitLab多个版本均受此漏洞影响。目前，GitLab官方已发布新版本修复了该漏洞，建议用户及时确认GitLab版本，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计，本周新增安全漏洞713个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有108个;从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到8.56%。新增漏洞中，超危漏洞43个，高危漏洞227个，中危漏洞433个，低危漏洞10个。

(一) 安全漏洞增长数量情况

本周CNNVD采集安全漏洞713个。

图1 近五周漏洞新增数量统计图

(二) 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有108个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

本周国内厂商漏洞41个，联想公司漏洞数量最多，有12个。国内厂商漏洞整体修复率为63.41%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, 跨站脚本类的安全漏洞占比最大，达到8.56%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

(三) 安全漏洞危害等级与修复情况

本周共发布超危漏洞43个，高危漏洞227个，中危漏洞433个，低危漏洞10个。相应修复率分别为79.07%、93.83%、78.06%和90.00%。根据补丁信息统计，合计594个漏洞已有修复补丁发布，整体修复率为83.31%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

(四) 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

1.WordPress plugin LearnPress SQL注入漏洞(CNNVD-202409-970)

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin LearnPress 4.2.7版本及之前版本存在SQL注入漏洞，该漏洞源于对用户提供的参数转义不足以及对现有SQL查询准备不足导致。攻击者利用该漏洞可以从数据库中提取敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/learnpress/

2.Google Pixel 安全漏洞(CNNVD-202409-1212)

Google Pixel是美国谷歌(Google)公司的一款智能手机。

Google Pixel存在安全漏洞，该漏洞源于代码中存在逻辑错误，从而导致内存损坏。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://source.android.com/security/bulletin/pixel/2024-09-01

3.Microsoft SQL Server 安全漏洞(CNNVD-202409-728)

Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。

Microsoft SQL Server存在安全漏洞，该漏洞源于错误地使用空字符或等效终止符终止字符串或数组。攻击者利用该漏洞可以获取敏感信息。以下产品和版本受到影响：Microsoft SQL Server 2017 for x64-based Systems (GDR),Microsoft SQL Server 2019 for x64-based Systems (GDR),Microsoft SQL Server 2017 for x64-based Systems (CU 31)。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43474

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞28316个。

表5 本周漏洞平台推送情况序号漏洞平台漏洞总量

三、接报漏洞情况

本周CNNVD接报漏洞266个，其中信息技术产品漏洞(通用型漏洞)191个，网络信息系统漏洞(事件型漏洞)75个。

表6 本周漏洞报送情况（详情略）

四、收录漏洞通报情况

本周CNNVD收录漏洞通报124份。

五、重大漏洞通报

CNNVD关于GitLab安全漏洞的通报

近日，国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202409-1044、CVE-2024-6678)情况的报送。攻击者可以利用漏洞绕过身份验证，导致软件项目仓库数据泄露，进而攻陷服务器。GitLab多个版本均受此漏洞影响。目前，GitLab官方已发布新版本修复了该漏洞，建议用户及时确认GitLab版本，尽快采取修补措施。

1.漏洞介绍

GitLab是美国GitLab公司的一款软件项目仓库应用程序，具有版本控制、问题跟踪、代码审查、持续集成和持续交付等功能。GitLab存在一个身份验证绕过漏洞，攻击者可以通过某种方式利用其他用户身份触发pipeline，从而绕过身份验证，导致软件项目仓库数据泄露，进而攻陷服务器。

2.危害影响

GitLab CE/EE 8.14 至GitLab CE/EE17.1.7之前版本、GitLab CE/EE 17.2至GitLab CE/EE 17.2.5之前版本、GitLab CE/EE 17.3 至GitLab CE/EE 17.3.2之前版本均受该漏洞影响。

3.修复建议

目前，GitLab官方已发布新版本修复了该漏洞，建议用户及时确认GitLab版本，尽快采取修补措施。

官方升级链接：https://about.gitlab.com/update

来源：CNNVD安全动态