网络与信息安全情况通报

2024年第 9期

 

第四师可克达拉市网络与信息安全信息通报中心       2024年1月25日

 

2023年CNVD漏洞周报

（20240115-20240121）

 

一、本周漏洞态势研判情况

本周信息安全漏洞威胁整体评价级别为中。

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞488个，其中高危漏洞197个、中危漏洞261个、低危漏洞30个。漏洞平均分值为6.29。本周收录的漏洞中，涉及0day漏洞348个（占71%），其中互联网上出现“WordPress插件WCFM Marketplace跨站脚本漏洞、Hospital Management System SQL注入漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数4975个，与上周（4842个）环比增加3%。

 

 

图1 CNVD收录漏洞近10周平均分值分布图

二、本周漏洞事件处置情况

本周，CNVD向银行、保险、能源等重要行业单位通报漏洞事件15起，向基础电信企业通报漏洞事件12起，协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件561起，协调教育行业应急组织验证和处置高校科研院所系统漏洞事件125起，向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件29起。

三、本周漏洞按类型和厂商统计

本周，CNVD收录了488个漏洞。WEB应用187个，应用程序169个，网络设备（交换机、路由器等网络端设备）77个，操作系统21个，智能设备（物联网终端设备）20个，安全产品11个，数据库2个，车联网1个。

图2 本周漏洞按影响类型分布

四、本周行业漏洞收录情况

本周，CNVD收录了49个电信行业漏洞，40个移动互联网行业漏洞，14个工控行业漏洞（如下图所示）。其中，“Tenda AX1803缓冲区溢出漏洞、Google Android信息泄露漏洞（CNVD-2024-02704）”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序，请参照CNVD相关行业漏洞库链接。

 

电信行业漏洞链接：http://telecom.cnvd.org.cn/

移动互联网行业漏洞链接：http://mi.cnvd.org.cn/

工控系统行业漏洞链接：http://ics.cnvd.org.cn/       

图3 电信行业漏洞统计

图4 移动互联网行业漏洞统计

 

图5 工控系统行业漏洞统计

五、本周重要漏洞安全告警

本周，CNVD整理和发布以下重要安全漏洞信息。

1、Tenda产品安全漏洞

Tenda AX1803是中国腾达（Tenda）公司的一款双频千兆WIFI6路由器。本周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。

CNVD收录的相关漏洞包括：Tenda AX1803缓冲区溢出漏洞（CNVD-2024-02208、CNVD-2024-02211、CNVD-2024-02210、CNVD-2024-02209、CNVD-2024-02214、CNVD-2024-02213、CNVD-2024-02212、CNVD-2024-02217）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02208

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02211

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02210

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02209

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02214

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02213

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02212

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02217

2、Adobe产品安全漏洞

Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。Adobe RoboHelp Server是面向FrameMaker和RoboHelp企业用户的基于服务器的应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，系统上执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Substance 3D Stager越界读取漏洞（CNVD-2024-02723、CNVD-2024-02724、CNVD-2024-02725、CNVD-2024-02726、CNVD-2024-02727）、Adobe RoboHelp Server SQL注入漏洞、Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路径遍历漏洞。其中，“Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路径遍历漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02723

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02724

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02725

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02726

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02727

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02728

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02729

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02730

3、Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2024-02335）、Google Android代码执行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02678、CNVD-2024-02704、CNVD-2024-02705、CNVD-2024-02706、CNVD-2024-02707）。其中，“Google Android权限提升漏洞（CNVD-2024-02335）、Google Android代码执行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02704）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02335

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02336

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02677

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02678

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02704

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02705

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02706

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02707

4、Microsoft产品安全漏洞

Microsoft .NET是一个致力于敏捷软件开发、快速应用开发、平台无关性和网络透明化的软件框架。Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取SYSTEM权限，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft .NET拒绝服务漏洞（CNVD-2024-02713）、Microsoft Excel执行代码漏洞、Microsoft Excel安全功能绕过漏洞（CNVD-2024-02715）、Microsoft Office执行代码漏洞（CNVD-2024-02716、CNVD-2024-02722）、Microsoft Office安全功能绕过漏洞（CNVD-2024-02717、CNVD-2024-02720）、Microsoft Office权限提升漏洞（CNVD-2024-02721）。其中，除“Microsoft Office安全功能绕过漏洞（CNVD-2024-02720）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02713

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02714

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02715

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02716

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02717

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02720

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02721

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02722

5、TRENDnet TV-IP1314PI缓冲区溢出漏洞

TRENDnet TV-IP1314PI是美国趋势网络（TRENDnet）公司的一款无线网络摄像机。本周，TRENDnet TV-IP1314PI被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-02732

六、小结

本周，Tenda产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。此外，Adobe、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码等。另外，TRENDnet TV-IP1314PI被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。