信息安全漏洞周报2023年第51期 ^繁體

点击蓝字 关注我们

根据国家信息安全漏洞库（CNNVD）统计，本周（2023年12月18日至2023年12月24日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞585个。

接报漏洞情况

本周CNNVD接报漏洞60092个，其中信息技术产品漏洞（通用型漏洞）253个，网络信息系统漏洞（事件型漏洞）36个，漏洞平台推送漏洞59803个。

重大漏洞通报

Apache Dubbo代码问题漏洞（CNNVD-202312-1524、CVE-2023-29234）：成功利用漏洞的攻击者，可在目标系统上执行任意代码。Apache Dubbo 3.1.0至3.1.10版本，3.2.0至3.2.4版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一、公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞585个，漏洞新增数量有所下降。从厂商分布来看WordPress基金会新增漏洞最多，有173个；从漏洞类型来看，SQL注入类的安全漏洞占比最大，达到15.56%。新增漏洞中，超危漏洞102个，高危漏洞147个，中危漏洞326个，低危漏洞10个。

（一） 安全漏洞增长数量情况

本周CNNVD采集安全漏洞585个。

图1 近五周漏洞新增数量统计图

（二） 安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有173个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	173	29.57%
2	Projectworlds	28	4.79%
3	吉翁电子	23	3.93%
4	Wavelink	22	3.76%
5	Mozilla基金会	21	3.59%

本周国内厂商漏洞53个，吉翁电子公司漏洞数量最多，有23个。国内厂商漏洞整体修复率为35.85%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看, SQL注入类的安全漏洞占比最大，达到15.56%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	SQL注入	91	15.56%
2	跨站脚本	53	9.06%
3	代码问题	47	8.03%
4	跨站请求伪造	38	6.50%
5	输入验证错误	20	3.42%
6	信息泄露	14	2.39%
7	路径遍历	8	1.37%
8	访问控制错误	8	1.37%
9	资源管理错误	7	1.20%
10	授权问题	7	1.20%
11	信任管理问题	4	0.68%
12	操作系统命令注入	3	0.51%
13	缓冲区错误	1	0.17%
14	代码注入	1	0.17%
15	命令注入	1	0.17%
16	注入	1	0.17%
17	加密问题	1	0.17%
18	格式化字符串错误	1	0.17%
19	数字错误	1	0.17%
20	竞争条件问题	1	0.17%
21	其他	277	47.35%

（三） 安全漏洞危害等级与修复情况

本周共发布超危漏洞102个，高危漏洞147个，中危漏洞326个，低危漏洞10个。相应修复率分别为49.02%、91.16%、68.40%和90.00%。根据补丁信息统计，合计416个漏洞已有修复补丁发布，整体修复率为71.11%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	102	50	49.02%
2	高危	147	134	91.16%
3	中危	326	223	68.40%
4	低危	10	9	90.00%
合计		585	416	71.11%

（四） 本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞类型	漏洞编号	厂商	漏洞实例	是否修复	危害等级
1	代码问题	CNNVD-202312-1945	WordPress基金会	WordPress plugin Download Monitor 代码问题漏洞	是	超危
2	其他	CNNVD-202312-1760	Mozilla基金会	Mozilla Firefox 安全漏洞	是	高危
3	代码问题	CNNVD-202312-2199	IBM	IBM Planning Analytics 代码问题漏洞	是	高危

1.WordPress plugin Download Monitor 代码问题漏洞（CNNVD-202312-1945）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Download Monitor 4.8.3版本及之前版本存在代码问题漏洞。攻击者利用该漏洞可以上传任意类型的文件。

目前厂商已发布升级补丁以修复漏洞，参考链接：

/plugins/download-monitor/

2.Mozilla Firefox 安全漏洞（CNNVD-202312-1760）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。

Mozilla Firefox存在安全漏洞，该漏洞源于存在内存释放后重用问题。以下产品及版本受到影响：Firefox ESR 115.6之前版本，Thunderbird 115.6之前版本，Firefox 121之前版本。

目前厂商已发布升级补丁以修复漏洞，参考链接：

/en-US/firefox/115.6.0/releasenotes/

3.IBM Planning Analytics 代码问题漏洞（CNNVD-202312-2199）

IBM Planning Analytics是美国国际商业机器（IBM）公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。

IBM Planning Analytics 2.0版本存在代码问题漏洞，该漏洞源于对文件的扩展名验证不当。远程攻击者利用该漏洞通过发送特制的 HTTP 请求上传恶意脚本，从而导致在目标系统上执行任意代码。

目前厂商已发布升级补丁以修复漏洞，参考链接：

/support/pages/node/7096528

二、漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞59803个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	31209
2	补天平台	27639
3	360漏洞云	955
推送总计		59803

三、接报漏洞情况

本周CNNVD接报漏洞289个，其中信息技术产品漏洞（通用型漏洞）253个，网络信息系统漏洞（事件型漏洞）36个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	奇安信网神信息技术（北京）股份有限公司	43
2	北京天融信网络安全技术有限公司	33
3	个人	29
4	长扬科技（北京）股份有限公司	20
5	星云博创科技有限公司	17
6	深信服科技股份有限公司	16
7	清远职业技术学院	12
8	华为技术有限公司	10
9	网宿科技股份有限公司	10
10	北京国舜科技股份有限公司	9
11	北京安信天行科技有限公司	8
12	北京启明星辰信息安全技术有限公司	7
13	西安交大捷普网络科技有限公司	6
14	北京知道创宇信息技术股份有限公司	5
15	杭州美创科技股份有限公司	5
16	京东科技信息技术有限公司	5
17	北京华云安信息技术有限公司	4
18	北京长亭科技有限公司	4
19	广州竞远安全技术股份有限公司	4
20	杭州海康威视数字技术股份有限公司	3
21	北京安博通科技股份有限公司	2
22	北京安天网络安全技术有限公司	2
23	北京江南天安科技有限公司	2
24	北京奇虎科技有限公司	2
25	北京神州绿盟科技有限公司	2
26	北京天防安全科技有限公司	2
27	北京有略安全技术有限公司	2
28	北京云起无垠科技有限公司	2
29	北京中睿天下信息技术有限公司	2
30	河南灵创电子科技有限公司	2
31	湖南省金盾信息安全等级保护评估中心有限公司	2
32	锐捷网络股份有限公司	2
33	赛尔网络有限公司	2
34	安徽长泰科技有限公司	1
35	北方实验室（沈阳）股份有限公司	1
36	北京锐服信科技有限公司	1
37	北京赛博昆仑科技有限公司	1
38	北京五一嘉峪科技有限公司	1
39	杭州迪普科技股份有限公司	1
40	蚂蚁科技集团股份有限公司	1
41	三六零数字安全科技集团有限公司	1
42	山西轩辕信息安全技术有限公司	1
43	苏州如意云网络科技有限公司	1
44	浙江木链物联网科技有限公司	1
45	中国电信股份有限公司网络安全产品运营中心	1
46	中兴通讯股份有限公司	1
报送总计		289

四、收录漏洞通报情况

本周CNNVD收录漏洞通报119份。

表7本周漏洞通报情况

序号	报送单位	通报总量
1	中孚安全技术有限公司	42
2	奇安信网神信息技术（北京）股份有限公司	8
3	华为技术有限公司	7
4	新华三技术有限公司	6
5	北京智游网安科技有限公司	5
6	湖北肆安科技有限公司	5
7	江苏百达智慧网络科技有限公司	4
8	深信服科技股份有限公司	4
9	北京众安天下科技有限公司	3
10	网宿科技股份有限公司	3
11	北京安天网络安全技术有限公司	2
12	北京奇虎科技有限公司	2
13	北京山石网科信息技术有限公司	2
14	博智安全科技股份有限公司	2
15	杭州迪普科技股份有限公司	2
16	湖南泛联新安信息科技有限公司	2
17	南京禾盾信息科技有限公司	2
18	上海斗象信息科技有限公司	2
19	上海矢安科技有限公司	2
20	西安交大捷普网络科技有限公司	2
21	中国电信股份有限公司网络安全产品运营中心	2
22	北京华云安信息技术有限公司	1
23	杭州美创科技股份有限公司	1
24	杭州默安科技有限公司	1
25	内蒙古旌云科技有限公司	1
26	厦门聚丁科技有限公司	1
27	山石网科通信技术股份有限公司	1
28	深圳昂楷科技有限公司	1
29	天津展望互联网络安全系统技术开发有限公司	1
30	云上广济（贵州）信息技术有限公司	1
31	浙江鑫诺检测技术有限公司	1
收录总计		119

五、重大漏洞通报

CNNVD关于Apache Dubbo 代码问题漏洞

情况的通报

近日，国家信息安全漏洞库（CNNVD）收到关于Apache Dubbo代码问题漏洞（CNNVD-202312-1524、CVE-2023-29234）情况的报送。成功利用漏洞的攻击者，可在目标系统上执行任意代码。Apache Dubbo 3.1.0至3.1.10版本，3.2.0至3.2.4版本均受此漏洞影响。目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。漏洞源于程序在处理异常时对反序列化后的对象进行了字符串拼接，恶意攻击者可利用该漏洞在目标系统上执行任意代码。

2.危害影响

成功利用漏洞的攻击者，可在目标系统上执行任意代码。Apache Dubbo 3.1.0至3.1.10版本，3.2.0至3.2.4版本均受此漏洞影响。

3.修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接：

/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77