网络与信息安全情况通报

2024年第 5期

 

第四师可克达拉市网络与信息安全信息通报中心       2024年1月11日

 

2023年CNVD漏洞周报

（20240101-20240107）

 

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞381个，其中高危漏洞153个、中危漏洞209个、低危漏洞19个。漏洞平均分值为6.18。本周收录的漏洞中，涉及0day漏洞315个（占83%），其中互联网上出现“Dreamer CMS跨站请求伪造漏洞（CNVD-2024-00216）、JFinalCMS跨站脚本漏洞（CNVD-2024-00217）”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数5215个，与上周（109390个）环比减少95%。

        图1 CNVD收录漏洞近10周平均分值分布图

二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件16起，向基础电信企业通报漏洞事件1起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件346起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件73起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件27起。

三、本周漏洞按类型和厂商统计

本周，CNVD收录了381个漏洞。WEB应用195个，应用程序103个，网络设备（交换机、路由器等网络端设备）48个，操作系统18个，智能设备（物联网终端设备）11个，数据库6个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

本周，CNVD收录了46个电信行业漏洞，34个移动互联网行业漏洞，8个工控行业漏洞（如下图所示）。其中，“Mitsubishi Electric MELSEC-F Series身份验证错误漏洞”漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

 

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/       

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

 

 

图5 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-00337、CNVD-2024-00336、CNVD-2024-00335、CNVD-2024-00339、CNVD-2024-00338、CNVD-2024-00342、CNVD-2024-00341、CNVD-2024-00340）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00337

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00336

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00335

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00339

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00338

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00342

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00341

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00340

2、DELL产品安全漏洞

Dell Virtual Appliance Manager是美国戴尔（Dell）公司的一个虚拟设备管理器。Dell Networking OS10是一款交换机。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从目标系统读取任意文件，在受影响的系统上执行任意操作系统命令，导致网络中断等。

CNVD收录的相关漏洞包括：Dell Virtual Appliance Manager命令注入漏洞（CNVD-2024-00186、CNVD-2024-00189、CNVD-2024-00185、CNVD-2024-00188）、Dell Virtual Appliance Manager任意文件读取漏洞（CNVD-2024-00187、CNVD-2024-00191）、Dell Virtual Appliance Manager信息泄露漏洞、Dell Networking OS10拒绝服务漏洞。其中，除“Dell Virtual Appliance Manager任意文件读取漏洞（CNVD-2024-00187）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00186

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00185

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00189

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00188

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00187

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00191

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00190

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00192

3、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2024-00159、CNVD-2024-00160、CNVD-2024-00161、CNVD-2024-00162、CNVD-2024-00163、CNVD-2024-00164、CNVD-2024-00165）、Google Android权限提升漏洞（CNVD-2024-00665）。其中，“Google Android权限提升漏洞（CNVD-2024-00665）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00159

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00160

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00161

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00162

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00163

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00164

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00165

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00665

4、Microsoft产品安全漏洞

Microsoft Dynamics 365是美国微软（Microsoft）公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。Microsoft Dynamics 365 (on-premises)是一组智能商业应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行跨站脚本攻击，导致系统拒绝服务。

CNVD收录的相关漏洞包括：Microsoft Dynamics 365 (on-premises)跨站脚本漏洞（CNVD-2024-00197、CNVD-2024-00201、CNVD-2024-00200、CNVD-2024-00199、CNVD-2024-00198、CNVD-2024-00203、CNVD-2024-00202）、Microsoft Dynamics 365 for Finance and Operations拒绝服务漏洞。其中，除“Microsoft Dynamics 365 (on-premises)跨站脚本漏洞（CNVD-2024-00198）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00197

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00196

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00201

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00200

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00199

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00198

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00203

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00202

5、D-Link Go-RT-AC750命令注入漏洞

D-Link GO-RT-AC750是中国友讯（D-Link）公司的一款无线双频简易路由器。本周，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00218

六、小结

本周，Adobe产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。此外，DELL、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行跨站脚本攻击，在受影响的系统上执行任意操作系统命令，导致系统拒绝服务。另外，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻击者可利用漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。