2024年03月25日-2024年03月31日
图1 CNVD收录漏洞近10周平均分值分布图
图3 CNVD各行业漏洞处置情况按周统计
图4 CNCERT各分中心处置情况按周统计
本周漏洞按类型和厂商统计
本周,CNVD收录了394个漏洞。WEB应用204个,应用程序112个,网络设备(交换机、路由器等网络端设备)45个,操作系统17个,智能设备(物联网终端设备)11个,安全产品5。
表2 漏洞按影响类型统计表
工控系统行业漏洞链接:http://ics.cnvd.org.cn/
图7 电信行业漏洞统计
图8 移动互联网行业漏洞统计
图9 工控系统行业漏洞统计
1、Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞将恶意脚本注入易受攻击的网页中。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2024-14654、CNVD-2024-14653、CNVD-2024-14657、CNVD-2024-14655、CNVD-2024-14661、CNVD-2024-14660、CNVD-2024-14659、CNVD-2024-14658)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14654
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14653
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14657
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14655
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14661
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14660
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14659
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14658
2、IBM产品安全漏洞
IBM Integration Bus(IBM WebSphere Message Broker)是美国国际商业机器(IBM)公司的一款企业服务总线(ESB)产品。该产品为面向服务架构(SOA)环境和非SOA环境提供连通性和通用数据转换。IBM DS8900F HMC是一款企业级磁盘存储系统,用于存储和管理大规模的企业数据。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产,如设施、交通运输等,并对这些资产实现单点控制。IBM i是一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM AIX是一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过授权用户的身份验证限制,获取敏感信息或消耗内存资源,导致任意删除文件,任意命令执行等。
CNVD收录的相关漏洞包括:IBM Integration Bus for z/OS跨站请求伪造漏洞、IBM DS8900F HMC信息泄露漏洞、IBM DS8900F HMC授权问题漏洞、IBM DS8900F HMC任意文件删除漏洞、IBM Maximo Asset Management XML外部实体注入漏洞、IBM DS8900F HMC日志信息泄露漏洞、IBM i权限许可和访问控制问题漏洞、IBM AIX/VIOS命令执行漏洞。其中,除“IBM DS8900F HMC信息泄露漏洞、IBM DS8900F HMC授权问题漏洞、IBM DS8900F HMC任意文件删除漏洞、IBM DS8900F HMC日志信息泄露漏洞”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14666
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14671
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14670
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14669
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14667
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14672
https://www.cnvd.org.cn/flaw/show/CNVD-2024-15370
https://www.cnvd.org.cn/flaw/show/CNVD-2024-15371
3、Linux产品安全漏洞
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致拒绝服务,本地权限提升,代码执行等。
CNVD收录的相关漏洞包括:Linux kernel代码问题漏洞(CNVD-2024-14763)、Linux kernel资源管理错误漏洞(CNVD-2024-14762)、Linux kernel代码执行漏洞(CNVD-2024-14767)、Linux Kernel拒绝服务漏洞(CNVD-2024-14766、CNVD-2024-14768)、Linux Kernel越界访问漏洞(CNVD-2024-14764)、Linux kernel释放后使用漏洞(CNVD-2024-14772)、Linux kernel竞争条件问题漏洞(CNVD-2024-14771)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14763
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14762
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14767
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14766
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14764
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14768
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14772
4、Mozilla产品安全漏洞
Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞创建无效的wasm值,在系统上执行任意代码或导致拒绝服务等。
CNVD收录的相关漏洞包括:Mozilla Firefox ESR和Thunderbird拒绝服务漏洞、多款Mozilla产品代码执行漏洞(CNVD-2024-14974、CNVD-2024-14975、CNVD-2024-14977、CNVD-2024-14978、CNVD-2024-14979)、Mozilla Firefox代码执行漏洞(CNVD-2024-14981)、Mozilla Firefox安全绕过漏洞(CNVD-2024-14982)。其中,除“Mozilla Firefox安全绕过漏洞(CNVD-2024-14982)”外其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14972
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14974
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14975
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14977
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14978
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14979
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14981
5、Rockwell Automation PowerFlex 527拒绝服务漏洞
Rockwell Automation PowerFlex 527是美国罗克韦尔(Rockwell Automation)公司的一款可调交流变频器。本周,Rockwell Automation PowerFlex 527被披露存在拒绝服务漏洞。攻击者可利用该漏洞导致设备崩溃。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-15540
小结:本周,Adobe产品被披露存在跨站脚本漏洞,攻击者可利用漏洞将恶意脚本注入易受攻击的网页中。此外,IBM、Linux、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞绕过授权用户的身份验证限制,获取敏感信息或消耗内存资源,在系统上执行任意代码或导致拒绝服务,任意删除文件等。另外,Rockwell Automation PowerFlex 527被披露存在拒绝服务漏洞。攻击者可利用漏洞导致设备崩溃。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况