漏洞信息月度通报2024年第2期

转自国家信息安全漏洞共享平台

情况综述

本月国家信息安全漏洞共享平台（以下简称CNVD）收集整理信息安全漏洞的基本情况如下：

收集整理信息安全漏洞1346个，其中高危漏洞513个，中危漏洞766个，低危漏洞67个。上述漏洞中，可被利用来实施远程网络攻击的漏洞有1161个。

1. 本月漏洞信息

1.1重要漏洞信息

本月CNVD收集和整理的漏洞信息中，对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。

序号	漏洞名称	编号及影响产品信息		影响描述
1	Adobe多款产品存在安全漏洞	CNVD编号	CNVD-2024-09602、CNVD-2024-09606CNVD-2024-09605、CNVD-2024-09604CNVD-2024-09603、CNVD-2024-09607CNVD-2024-09611、CNVD-2024-09610CNVD-2024-09898、CNVD-2024-09899	本月，Adobe多款产品存在安全漏洞。攻击者可利用该漏洞导致安全功能绕过，导致缓冲区溢出，在当前用户的上下文中执行任意代码等。本月漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-09602、CNVD-2024-09603）、Adobe ColdFusion反序列化漏洞（CNVD-2024-09606、CNVD-2024-09607）、Adobe ColdFusion反序列化代码执行漏洞、Adobe FrameMaker身份验证错误漏洞、Adobe Photoshop缓冲区溢出漏洞（CNVD-2024-09611）、Adobe Animate缓冲区溢出漏洞（CNVD-2024-09610）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-09898、CNVD-2024-09899）等。




		其他编号	CVE-2023-48547、CVE-2023-38203 CVE-2023-38204、CVE-2023-44324 CVE-2023-48453、CVE-2023-26359 CVE-2022-35713、CVE-2022-38411 CVE-2024-20741、CVE-2024-20740




		发布时间	2024-02-22
		影响产品	Adobe Experience Manager Adobe ColdFusion 2018 Adobe ColdFusion 2021 Adobe ColdFusion 2023 Adobe Photoshop Adobe Animate Adobe Substance 3D Painter Adobe Framemaker
















2	Google多款产品存在安全漏洞	CNVD编号	CNVD-2024-07112、CNVD-2024-07114CNVD-2024-07115、CNVD-2024-07118CNVD-2024-07123、CNVD-2024-07125CNVD-2024-07126、CNVD-2024-07127CNVD-2024-07129、CNVD-2024-07131	本月，Google多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息，在系统上获取提升的特权等。本月漏洞包括：Google Android信息泄露漏洞（CNVD-2024-07131）、Google Android代码执行漏洞（CNVD-2024-07123）、Google Android权限提升漏洞（CNVD-2024-07112、CNVD-2024-07114、CNVD-2024-07115、CNVD-2024-07118、CNVD-2024-07125、CNVD-2024-07126、CNVD-2024-07127、CNVD-2024-07129）等。




		其他编号	CVE-2023-21134、CVE-2023-40077 CVE-2023-40076、CVE-2023-40082 CVE-2023-40088、CVE-2023-40080 CVE-2023-45775、CVE-2023-40090 CVE-2023-40087、CVE-2023-35663




		发布时间	2024-02-04
		影响产品	Google Android










3	IBM多款产品存在安全漏洞	CNVD编号	CNVD-2024-07609、CNVD-2024-07607CNVD-2024-07606、CNVD-2024-07610CNVD-2024-09178、CNVD-2024-09290CNVD-2024-09945、CNVD-2024-09944CNVD-2024-09943、CNVD-2024-09950	本月，IBM多款产品存在安全漏洞。攻击者可以利用该漏洞暴力破解帐户凭据，获取敏感信息或消耗内存资源，对易受攻击的系统进行各种攻击，包括跨站点脚本、缓存中毒或会话劫持等。本月漏洞包括：IBM Security Access Manager未授权访问漏洞、IBM Cloud Pak System信息泄露漏洞（CNVD-2024-07607）、IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞、IBM Security Access Manager XML外部实体注入漏洞、IBM SOAR QRadar Plugin App目录遍历漏洞、IBM Security Access Manager Container资源管理错误漏洞、IBM PowerSC加密问题漏洞（CNVD-2024-09945）、IBM PowerSC解释冲突漏洞、IBM PowerSC跨站脚本漏洞、IBM PowerSC信息泄露漏洞等。




		其他编号	CVE-2023-43016、CVE-2023-38273 CVE-2023-47143、CVE-2023-32327 CVE-2023-38019、CVE-2023-30999 CVE-2023-50937、CVE-2023-50327 CVE-2023-50933、CVE-2023-50326




		发布时间	2024-02-09
		影响产品	IBM Security verify Access Appliance IBM Security verify Access Docker IBM Cloud Pak System IBM Tivoli Application Dependency Discovery Manager IBM SOAR QRadar Plugin App IBM PowerSC





















4	Siemens多款产品存在安全漏洞	CNVD编号	CNVD-2024-09321、CNVD-2024-09327CNVD-2024-09326、CNVD-2024-09325CNVD-2024-09330、CNVD-2024-09328CNVD-2024-09334、CNVD-2024-09333CNVD-2024-09332、CNVD-2024-09331	本月，Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码。本月漏洞包括：Siemens Tecnomatix Plant Simulation越界读取漏洞（CNVD-2024-09321）、Siemens Tecnomatix Plant Simulation缓冲区溢出漏洞（CNVD-2024-09327、CNVD-2024-09326、CNVD-2024-09325）、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2024-09328）、Siemens Simcenter Femap越界写入漏洞（CNVD-2024-09334、CNVD-2024-09332、CNVD-2024-09330）、Siemens Simcenter Femap内存损坏漏洞、Siemens Simcenter Femap越界读取漏洞（CNVD-2024-09331）等。




		其他编号	CVE-2024-23802、CVE-2024-23796 CVE-2024-23797、CVE-2024-23798 CVE-2024-24924、CVE-2024-23795 CVE-2024-24920、CVE-2024-24921 CVE-2024-24922、CVE-2024-24923




		发布时间	2024-02-22
		影响产品	SIEMENS Tecnomatix Plant Simulation Simcenter Femap
















5	Fortinet多款产品存在安全漏洞	CNVD编号	CNVD-2024-09277、CNVD-2024-09276CNVD-2024-09274、CNVD-2024-09280CNVD-2024-09279、CNVD-2024-09278CNVD-2024-09283、CNVD-2024-09281CNVD-2024-09285、CNVD-2024-09284	本月，Fortinet多款产品存在安全漏洞。攻击者可利用该漏洞进行权限升级，通过特制的输入参数执行未经授权的命令等。本月漏洞包括：Fortinet FortiADC授权问题漏洞（CNVD-2024-09277）、Fortinet FortiSandbox跨站脚本漏洞（CNVD-2024-09276、CNVD-2024-09278）、Fortinet FortiOS and FortiProxy授权问题漏洞、Fortinet FortiOS跨站脚本漏洞（CNVD-2024-09280）、Fortinet FortiIsolator命令执行漏洞、Fortinet FortiNAC权限提升漏洞（CNVD-2024-09283）、Fortinet FortiOS授权问题漏洞（CNVD-2024-09281）、Fortinet FortiWeb命令注入漏洞（CNVD-2024-09285）、Fortinet FortiNAC命令注入漏洞（CNVD-2024-09284）等。




		其他编号	CVE-2023-41673、CVE-2023-45587 CVE-2023-44250、CVE-2023-36555 CVE-2022-22298、CVE-2023-41844 CVE-2022-39953、CVE-2023-41841 CVE-2023-23779、CVE-2022-40677




		发布时间	2024-02-09
		影响产品	Fortinet FortiADC Fortinet FortiA Fortinet FortiSandbox Fortinet FortiOS Fortinet FortiProxy Fortinet FortiIsolator Fortinet FortiNAC Fortinet FortiWeb

















6	Linux多款产品存在安全漏洞	CNVD编号	CNVD-2024-08087、CNVD-2024-08092CNVD-2024-08091、CNVD-2024-08090CNVD-2024-08095、CNVD-2024-08094CNVD-2024-08093、CNVD-2024-08097CNVD-2024-08096、CNVD-2024-10459	本月，Linux多款产品存在安全漏洞。攻击者可利用该漏洞导致系统崩溃或泄漏内部内核信息，实现本地权限提升等。本月漏洞包括：Linux kernel代码问题漏洞（CNVD-2024-08087、CNVD-2024-08095）、Linux kernel内存错误引用漏洞（CNVD-2024-08092）、Linux kernel拒绝服务漏洞（CNVD-2024-08090）、Linux kernel资源管理错误漏洞（CNVD-2024-08091、CNVD-2024-08094、CNVD-2024-08093、CNVD-2024-08096）、Linux存在二进制漏洞、Linux Kernel ksmbd SMB2_SESSION_SETUP拒绝服务漏洞等。




		其他编号	CVE-2024-0443、CVE-2023-5197 CVE-2023-5345、CVE-2023-42754 CVE-2023-3338、CVE-2023-4394 CVE-2023-4921、CVE-2023-32247 CVE-2023-3389、CVE-2024-1312




		发布时间	2024-02-07
		影响产品	Linux kernel













7	Mozilla多款产品存在安全漏洞	CNVD编号	CNVD-2024-10431、CNVD-2024-10432CNVD-2024-10434、CNVD-2024-10433CNVD-2024-10435、CNVD-2024-10437CNVD-2024-10436、CNVD-2024-10440CNVD-2024-10443、CNVD-2024-10444	本月，Mozilla多款产品存在安全漏洞。攻击者可利用该漏洞诱骗用户授予权限，绕过安全限制，导致浏览器崩溃等。本月漏洞包括：Mozilla Firefox拒绝服务漏洞（CNVD-2024-10431、CNVD-2024-10432、CNVD-2024-10440、CNVD-2024-10435、CNVD-2024-10437）、多款Mozilla产品安全绕过漏洞（CNVD-2024-10434、CNVD-2024-10443）、多款Mozilla产品权限提升漏洞（CNVD-2024-10433）、多款Mozilla产品拒绝服务漏洞（CNVD-2024-10444、CNVD-2024-10436）等。




		其他编号	CVE-2024-0754、CVE-2024-0743 CVE-2024-0747、CVE-2024-0751 CVE-2024-0752、CVE-2024-0744 CVE-2024-0741、CVE-2024-0745 CVE-2024-0750、CVE-2024-0746




		发布时间	2024-02-29
		影响产品	Mozilla Firefox Mozilla Firefox ESR Mozilla Thunderbird












8	SAP多款产品存在安全漏洞	CNVD编号	CNVD-2024-09905、CNVD-2024-10197CNVD-2024-10200、CNVD-2024-10199CNVD-2024-10198、CNVD-2024-10203CNVD-2024-10202、CNVD-2024-10201CNVD-2024-10206、CNVD-2024-10205	本月，SAP多款产品存在安全漏洞。攻击者可利用该漏洞获得对数据的访问权限，通过注入精心设计的有效载荷执行任意Web脚本或HTML，导致权限升级等。本月漏洞包括：SAP Emarsys SDK授权问题漏洞、SAP Companion跨站脚本漏洞、SAP ABA代码注入漏洞、SAP IDES Systems命令注入漏洞、SAP Cloud Connector信任管理问题漏洞（CNVD-2024-10198）、SAP NetWeaver AS ABAP存在跨站脚本漏洞、SAP S/4HANA授权问题漏洞（CNVD-2024-10202）、SAP NetWeaver ABAP Server跨站脚本漏洞（CNVD-2024-10201）、SAP NetWeaver AS跨站脚本漏洞（CNVD-2024-10206）、SAP Application Interface Framework跨站脚本漏洞等。




		其他编号	CVE-2023-6542、CVE-2024-22129 CVE-2024-22131、CVE-2024-22132 CVE-2024-25642、CVE-2023-40624 CVE-2023-42473、CVE-2024-21738 CVE-2023-24521、CVE-2023-29110




		发布时间	2024-02-22
		影响产品	SAP Emarsys SDK SAP Companion SAP ABA (Application Basis) SAP IDES Systems SAP Cloud Connector SAP NetWeaver AS SAP S/4HANA SAP Netweaver Application Server ABAP SAP NetWeaver AS ABAP Business Server Pages SAP Application Interface Framework

表1 本月重要漏洞信息

1.2漏洞分类统计

根据漏洞影响对象的类型，漏洞可分为WEB应用、应用程序、操作系统、网络设备（交换机、路由器等网络端设备）、数据库、安全产品（如防火墙、入侵检测系统等）、智能设备（物联网终端设备）漏洞和车联网。不同类型漏洞的分布如图1所示，本月WEB应用占比例较大。与前12个月相比，本月数据库、智能设备（物联网终端设备）、车联网漏洞的数量处于高位，应用程序、WEB应用、操作系统、网络设备（交换机、路由器等网络端设备）和安全产品漏洞的数量处于低位。

图1 漏洞类型分布

1.3漏洞被关注情况

根据对用户查阅CNVD漏洞信息次数的统计，本月用户关注度最高的5个漏洞如表2所示。

关注度排名	漏洞名称	CNVD编号	发布时间
1	Google Android权限提升漏洞（CNVD-2024-07126）	CNVD-2024-07126	2024/2/4
2	IBM Tivoli Application Dependency Discovery Manager HTTP头部注入漏洞	CNVD-2024-07606	2024/2/9
3	达梦数据技术（江苏）有限公司达梦新云缓存数据库DMCDM存在拒绝服务漏洞	CNVD-2024-07076	2024/2/18
4	IBM Tivoli Application Dependency Discovery Manager权限提升漏洞	CNVD-2024-07603	2024/2/9
5	IBM Tivoli Application Dependency Discovery Manager跨站脚本漏洞（CNVD-2024-07605）	CNVD-2024-07605	2024/2/9

表2 本月被关注漏洞TOP5

从表2可以看出，本月用户关注的主要是Google Android权限提升漏洞（CNVD-2024-07126），其访问量达到83次以上。

1.4漏洞趋势

本月，CNVD收集整理信息安全漏洞1346个，与前12个月平均收录数量1672个相比，处于低位；本月高危漏洞513个，与前12个月高危漏洞平均收录数量776个相比，处于低位。本月的总体漏洞趋势如图2所示。

图2 漏洞发布趋势

由图2所示，本月21日发布的安全漏洞数量最多，高达169个，主要是因为收录了Siemens、Fortinet等多款产品存在的多个漏洞。

2. 单位和个人上报漏洞统计

本月报送情况如表3所示。其中，北京启明星辰信息安全技术有限公司、新华三技术有限公司、北京神州绿盟科技有限公司、安天科技集团股份有限公司、北京数字观星科技有限公司等单位报送公开收集的漏洞数量较多。江苏金盾检测技术股份有限公司、贵州多彩网安科技有限公司、联想集团、河南东方云盾信息技术有限公司、奇安星城网络安全运营服务（长沙）有限公司、快页信息技术有限公司、内蒙古洞明科技有限公司、河南灵创电子科技有限公司、安徽天行网安信息安全技术有限公司、江苏百达智慧网络科技有限公司、北京卓识网安技术股份有限公司、江苏云天网络安全技术有限公司、中国电信股份有限公司上海研究院、中孚安全技术有限公司、江苏晟晖信息科技有限公司、杭州默安科技有限公司、西藏熙安信息技术有限责任公司、北京微步在线科技有限公司、海南神州希望网络有限公司、内蒙古中叶信息技术有限责任公司、甘肃赛飞安全科技有限公司、湖南泛联新安信息科技有限公司、星云博创科技有限公司、安徽锋刃信息科技有限公司、江苏极元信息技术有限公司、上海直画科技有限公司、任子行网络技术股份有限公司、北京天下信安技术有限公司、广州安亿信软件科技有限公司、北京中关村实验室、北京时代新威信息技术有限公司、济南三泽信息安全测评有限公司、杭州海康威视数字技术股份有限公司、北京天防安全科技有限公司、杭州寻臻科技有限责任公司、北方实验室（沈阳）股份有限公司、深圳昂楷科技有限公司、博智安全科技股份有限公司、北京山石网科信息技术有限公司、苏州棱镜七彩信息科技有限公司、北京双湃智安科技有限公司、上海观安信息技术股份有限公司、安全邦（北京）信息技术有限公司、国网上海市电力公司、赛尔网络有限公司、南京共美科技有限公司、中国工商银行、中国电信股份有限公司研究院、河南悦海数安科技有限公司、成都愚安科技有限公司、信联科技（南京）有限公司、浙江木链物联网科技有限公司、吉林省吉林祥云信息技术有限公司、北京星网锐捷网络技术有限公司、统信软件技术有限公司、江苏锋刃信息科技有限公司、安徽长泰科技有限公司、江苏君立华域信息安全技术股份有限公司、北京墨云科技有限公司、杭州中正检测技术有限公司、南京深安科技有限公司、亚信科技（成都）有限公司及其他个人白帽子向CNVD提交了27098个以事件型漏洞为主的原创漏洞。其中包括奇安信网神（补天平台）、斗象科技（漏洞盒子）、上海交大和三六零数字安全科技集团有限公司向CNVD共享的白帽子报送的22939条原创漏洞信息。

报送单位或个人	漏洞报送数量	原创漏洞数
斗象科技（漏洞盒子）	12544	12544
海交大上	4789	4789
奇安信网神（补天平台）	4190	4190
北京启明星辰信息安全技术有限公司	2263	11
三六零数字安全科技集团有限公司	1416	1416
新华三技术有限公司	739	0
北京神州绿盟科技有限公司	722	1
安天科技集团股份有限公司	657	0
北京数字观星科技有限公司	641	0
阿里云计算有限公司	513	0
深信服科技股份有限公司	360	0
天津市国瑞数码安全系统股份有限公司	276	0
恒安嘉新(北京)科技股份公司	174	0
北京知道创宇信息技术有限公司	146	0
北京长亭科技有限公司	120	8
北京安信天行科技有限公司	87	87
杭州安恒信息技术股份有限公司	57	21
中国电信集团系统集成有限责任公司	45	1
北京天融信网络安全技术有限公司	35	4
杭州迪普科技股份有限公司	25	0
北京智游网安科技有限公司	9	9
中国电信股份有限公司网络安全产品运营中心	6	6
西安四叶草信息技术有限公司	4	4
远江盛邦（北京）网络安全科技股份有限公司	4	4
南京联成科技发展股份有限公司	3	3
厦门服云信息科技有限公司	1	1
江苏金盾检测技术股份有限公司	278	278
贵州多彩网安科技有限公司	152	152
联想集团	126	126
河南东方云盾信息技术有限公司	85	85
奇安星城网络安全运营服务（长沙）有限公司	60	60
快页信息技术有限公司	53	53
内蒙古洞明科技有限公司	50	50
河南灵创电子科技有限公司	46	46
西门子（中国）有限公司	28	0
安徽天行网安信息安全技术有限公司	25	25
江苏百达智慧网络科技有限公司	17	17
北京卓识网安技术股份有限公司	15	15
江苏云天网络安全技术有限公司	12	12
中国电信股份有限公司上海研究院	11	11
中孚安全技术有限公司	10	10
江苏晟晖信息科技有限公司	10	10
杭州默安科技有限公司	9	9
西藏熙安信息技术有限责任公司	9	9
北京微步在线科技有限公司	9	9
海南神州希望网络有限公司	9	9
内蒙古中叶信息技术有限责任公司	7	7
甘肃赛飞安全科技有限公司	7	7
湖南泛联新安信息科技有限公司	6	6
星云博创科技有限公司	5	5
安徽锋刃信息科技有限公司	5	5
江苏极元信息技术有限公司	4	4
上海直画科技有限公司	4	4
任子行网络技术股份有限公司	4	4
北京天下信安技术有限公司	3	3
广州安亿信软件科技有限公司	3	3
北京中关村实验室	3	3
北京时代新威信息技术有限公司	3	3
济南三泽信息安全测评有限公司	3	3
杭州海康威视数字技术股份有限公司	3	3
北京天防安全科技有限公司	2	2
杭州寻臻科技有限责任公司	2	2
北方实验室（沈阳）股份有限公司	2	2
深圳昂楷科技有限公司	2	2
博智安全科技股份有限公司	2	2
北京山石网科信息技术有限公司	2	2
苏州棱镜七彩信息科技有限公司	2	2
北京双湃智安科技有限公司	2	2
上海观安信息技术股份有限公司	2	2
安全邦（北京）信息技术有限公司	2	2
国网上海市电力公司	1	1
赛尔网络有限公司	1	1
南京共美科技有限公司	1	1
中国工商银行	1	1
中国电信股份有限公司研究院	1	1
河南悦海数安科技有限公司	1	1
成都愚安科技有限公司	1	1
信联科技（南京）有限公司	1	1
浙江木链物联网科技有限公司	1	1
吉林省吉林祥云信息技术有限公司	1	1
北京星网锐捷网络技术有限公司	1	1
统信软件技术有限公司	1	1
江苏锋刃信息科技有限公司	1	1
安徽长泰科技有限公司	1	1
江苏君立华域信息安全技术股份有限公司	1	1
北京墨云科技有限公司	1	1
杭州中正检测技术有限公司	1	1
南京深安科技有限公司	1	1
亚信科技（成都）有限公司	1	1
CNCERT贵州分中心	4	4
CNCERT河北分中心	4	4
CNCERT内蒙古分中心	4	4
CNCERT广西分中心	2	2
CNCERT湖南分中心	1	1
个人	2899	2899
报送总计	1346（去重）	27098

表3 单位和个人上报漏洞统计

（编辑：CNVD） |

已有0条评论