前言
漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周2024年11月18日至2024年11月24日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞1224个。
接报漏洞情况
本周CNNVD接报漏洞11584个,其中信息技术产品漏洞(通用型漏洞)281个,网络信息系统漏洞(事件型漏洞)50个,漏洞平台推送漏洞11253个。
重大漏洞通报
Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202411-2328、CVE-2024-0012):攻击者可以利用漏洞在未授权的情况下访问后台管理界面,进而获取管理员权限,控制目标设备。PAN-OS多个版本均受此漏洞影响。目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞1224个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有400个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到21.32%。新增漏洞中,超危漏洞49个,高危漏洞296个,中危漏洞831个,低危漏洞48个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞1224个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有400个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
| 序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
|---|---|---|---|
| 1 | WordPress基金会 | 400 | 32.68% |
| 2 | Linux基金会 | 99 | 8.09% |
| 3 | PDF-XChange | 39 | 3.19% |
| 4 | Tungsten Automation | 32 | 2.61% |
| 5 | 谷歌 | 30 | 2.45% |
本周国内厂商漏洞89个,威联通科技公司漏洞数量最多,有19个。国内厂商漏洞整体修复率为66.67%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到21.32%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
| 序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
|---|---|---|---|
| 1 | 跨站脚本 | 261 | 21.32% |
| 2 | 缓冲区错误 | 100 | 8.17% |
| 3 | 跨站请求伪造 | 39 | 3.19% |
| 4 | 代码问题 | 37 | 3.02% |
| 5 | 资源管理错误 | 27 | 2.21% |
| 6 | 路径遍历 | 24 | 1.96% |
| 7 | 操作系统命令注入 | 23 | 1.88% |
| 8 | 后置链接 | 22 | 1.80% |
| 9 | 访问控制错误 | 12 | 0.98% |
| 10 | SQL注入 | 10 | 0.82% |
| 11 | 代码注入 | 10 | 0.82% |
| 12 | 信息泄露 | 8 | 0.65% |
| 13 | 授权问题 | 7 | 0.57% |
| 14 | 注入 | 6 | 0.49% |
| 15 | 格式化字符串错误 | 6 | 0.49% |
| 16 | 命令注入 | 6 | 0.49% |
| 17 | 输入验证错误 | 5 | 0.41% |
| 18 | 日志信息泄露 | 4 | 0.33% |
| 19 | 信任管理问题 | 2 | 0.16% |
| 20 | 数据伪造问题 | 2 | 0.16% |
| 21 | 数字错误 | 1 | 0.08% |
| 22 | 加密问题 | 1 | 0.08% |
| 23 | 其他 | 611 | 49.92% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞49个,高危漏洞296个,中危漏洞831个,低危漏洞48个。相应修复率分别为65.31%、64.19%、58.97%和81.25%。根据补丁信息统计,合计751个漏洞已有修复补丁发布,整体修复率为61.36%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
| 序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
|---|---|---|---|---|
| 1 | 超危 | 49 | 32 | 65.31% |
| 2 | 高危 | 296 | 190 | 64.19% |
| 3 | 中危 | 831 | 490 | 58.97% |
| 4 | 低危 | 48 | 39 | 81.25% |
| 合计 | 1224 | 751 | 61.36% |
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
| 序号 | 漏洞编号 | 危害等级 |
|---|---|---|
| 1 | CNNVD-202411-3443 | 超危 |
| 2 | CNNVD-202411-2764 | 高危 |
| 3 | CNNVD-202411-2326 | 高危 |
1. WordPress plugin WPGYM 代码问题漏洞(CNNVD-202411-3443)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin WPGYM 67.1.0版本及之前版本存在代码问题漏洞,该漏洞源于MJ_gmgt_user_avatar_image_upload函数缺少文件类型验证。攻击者利用该漏洞可以远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.wordfence.com/threat-intel/vulnerabilities/
id/bae5f22d-5085-4230-a7fc-5db85aa6fbdb?source=cve
2. Google Android 安全漏洞(CNNVD-202411-2764)
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。
Google Android存在安全漏洞,该漏洞源于缺少边界检查,允许越界读取内存。攻击者利用该漏洞可以获取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://source.android.com/security/bulletin/2018-07-01
3. Linux kernel 安全漏洞(CNNVD-202411-2326)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel存在安全漏洞,该漏洞源于缺乏对用户提供的数据的正确验证。攻击者利用该漏洞可以获取敏感信息。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://lore.kernel.org/lkml/CAH2r5mv+Sy5mrZThrQUf1na-mg-B9DiLd5fkYs9sPo97GWirCA@mail.gmail.com/
二漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞11253个。
表5 本周漏洞平台推送情况
| 序号 | 漏洞平台 | 漏洞总量 |
|---|---|---|
| 1 | 补天平台 | 8881 |
| 2 | 360漏洞云 | 1489 |
| 3 | 漏洞盒子 | 883 |
| 推送总计 | 11253 |
三接报漏洞情况
本周CNNVD接报漏洞331个,其中信息技术产品漏洞(通用型漏洞)281个,网络信息系统漏洞(事件型漏洞)50个。
表6 本周漏洞报送情况
| 序号 | 报送单位 | 漏洞总量 |
|---|---|---|
| 1 | 个人 | 73 |
| 2 | 超聚变数字技术有限公司 | 34 |
| 3 | 京铁云智慧物流科技有限公司 | 20 |
| 4 | 北京天融信网络安全技术有限公司 | 12 |
| 5 | 北京启明星辰信息安全技术有限公司 | 11 |
| 6 | 华为技术有限公司 | 9 |
| 7 | 杭州美创科技股份有限公司 | 8 |
| 8 | 北京华云安信息技术有限公司 | 8 |
| 9 | 北京长亭科技有限公司 | 7 |
| 10 | 中国电信股份有限公司网络安全产品运营中心 | 7 |
| 11 | 杭州迪普科技股份有限公司 | 7 |
| 12 | 永信至诚科技集团股份有限公司 | 6 |
| 13 | 安恒愿景(成都)信息科技有限公司 | 6 |
| 14 | 上海雾见安全科技有限公司 | 6 |
| 15 | 奇安信网神信息技术(北京)股份有限公司 | 5 |
| 16 | 北京中睿天下信息技术有限公司 | 5 |
| 17 | 河南灵创电子科技有限公司 | 5 |
| 18 | 内蒙古数字安全科技有限公司 | 5 |
| 19 | 湖南泛联新安信息科技有限公司 | 5 |
| 20 | 上海谋乐网络科技有限公司 | 4 |
| 21 | 上海斗象信息科技有限公司 | 4 |
| 22 | 浪潮电子信息产业股份有限公司 | 4 |
| 23 | 联通数字科技有限公司 | 4 |
| 24 | 广州竞远安全技术股份有限公司 | 4 |
| 25 | 三六零数字安全科技集团有限公司 | 3 |
| 26 | 京数安(北京)科技有限公司 | 3 |
| 27 | 广西百色英晖科技有限公司 | 3 |
| 28 | 广州安道信息技术有限公司 | 3 |
| 29 | 成都安美勤信息技术股份有限公司 | 3 |
| 30 | 中科方德软件有限公司 | 3 |
| 31 | 上海纽盾科技股份有限公司 | 3 |
| 32 | 北京水木羽林科技有限公司 | 3 |
| 33 | 成都思维世纪科技有限责任公司 | 3 |
| 34 | 北京纽盾网安信息技术有限公司 | 3 |
| 35 | 宁夏凯信特信息科技有限公司 | 2 |
| 36 | 北京安华金和科技有限公司 | 2 |
| 37 | 泉州延陵信息技术有限公司 | 2 |
| 38 | 天津市兴先道科技有限公司 | 2 |
| 39 | 上海矢安科技有限公司 | 2 |
| 40 | 北京国科数安科技有限公司 | 2 |
| 41 | 江苏保旺达软件技术有限公司 | 2 |
| 42 | 北京金睛云华科技有限公司 | 2 |
| 43 | 北京时代新威信息技术有限公司 | 2 |
| 44 | 杭州安恒信息技术股份有限公司 | 2 |
| 45 | 远江盛邦(北京)网络安全科技股份有限公司 | 2 |
| 46 | 北京江南天安科技有限公司 | 2 |
| 47 | 杭州中电安科现代科技有限公司 | 2 |
| 48 | 上海安几科技有限公司 | 2 |
| 49 | 网宿科技股份有限公司 | 1 |
| 50 | 西安安迈信科科技有限公司 | 1 |
| 51 | 锐捷网络股份有限公司 | 1 |
| 52 | 北京天下信安技术有限公司 | 1 |
| 53 | 南京众智维信息科技有限公司 | 1 |
| 54 | 深圳市博通智能技术有限公司 | 1 |
| 55 | 北京安信天行科技有限公司 | 1 |
| 56 | 北京安帝科技有限公司 | 1 |
| 57 | 内蒙古旌云科技有限公司 | 1 |
| 58 | 北京寰宇天穹信息技术有限公司 | 1 |
| 59 | 长扬科技(北京)股份有限公司 | 1 |
| 60 | 江苏正信信息安全测试有限公司 | 1 |
| 61 | 贵州多彩网安科技有限公司 | 1 |
| 62 | 中资网络信息安全科技有限公司 | 1 |
| 报送总计 | 331 |
四收录漏洞通报情况
本周CNNVD收录漏洞通报115份。
表7 本周漏洞通报情况
| 序号 | 报送单位 | 通报总量 |
|---|---|---|
| 1 | 中孚安全技术有限公司 | 16 |
| 2 | 奇安信网神信息技术(北京)股份有限公司 | 7 |
| 3 | 杭州迪普科技股份有限公司 | 5 |
| 4 | 安恒愿景(成都)信息科技有限公司 | 5 |
| 5 | 河南悦海数安科技有限公司 | 5 |
| 6 | 北京神州绿盟科技有限公司 | 4 |
| 7 | 网宿科技股份有限公司 | 3 |
| 8 | 京铁云智慧物流科技有限公司 | 3 |
| 9 | 浙江大华技术股份有限公司 | 3 |
| 10 | 京数安(北京)科技有限公司 | 3 |
| 11 | 广西百色英晖科技有限公司 | 3 |
| 12 | 上海纽盾科技股份有限公司 | 3 |
| 13 | 北京众安天下科技有限公司 | 3 |
| 14 | 北京纽盾网安信息技术有限公司 | 3 |
| 15 | 中科方德软件有限公司 | 3 |
| 16 | 北京知道创宇信息技术股份有限公司 | 2 |
| 17 | 长扬科技(北京)股份有限公司 | 2 |
| 18 | 杭州中电安科现代科技有限公司 | 2 |
| 19 | 博智安全科技股份有限公司 | 2 |
| 20 | 深信服科技股份有限公司 | 2 |
| 21 | 国威(北京)信息安全技术有限公司 | 2 |
| 22 | 杭州海康威视数字技术股份有限公司 | 2 |
| 23 | 华为技术有限公司 | 2 |
| 24 | 新华三技术有限公司 | 2 |
| 25 | 北京时代新威信息技术有限公司 | 2 |
| 26 | 上海云盾信息技术有限公司 | 2 |
| 27 | 广西网信信息技术有限公司 | 1 |
| 28 | 北京安天网络安全技术有限公司 | 1 |
| 29 | 云上广济(贵州)信息技术有限公司 | 1 |
| 30 | 广州非凡信息安全技术有限公司 | 1 |
| 31 | 河南灵创电子科技有限公司 | 1 |
| 32 | 杭州美创科技股份有限公司 | 1 |
| 33 | 上海谋乐网络科技有限公司 | 1 |
| 34 | 北京安帝科技有限公司 | 1 |
| 35 | 北京华云安信息技术有限公司 | 1 |
| 36 | 数字新时代(山东)数据科技服务有限公司 | 1 |
| 37 | 深圳市深信服信息安全有限公司 | 1 |
| 38 | 天地伟业技术有限公司 | 1 |
| 39 | 苏州棱镜七彩信息科技有限公司 | 1 |
| 40 | 北京山石网科信息技术有限公司 | 1 |
| 41 | 北京安信天行科技有限公司 | 1 |
| 42 | 塞讯信息技术(上海)有限公司 | 1 |
| 43 | 浪潮电子信息产业股份有限公司 | 1 |
| 44 | 郑州埃文科技有限公司 | 1 |
| 45 | 北京水木羽林科技有限公司 | 1 |
| 46 | 西安交大捷普网络科技有限公司 | 1 |
| 47 | 宁波和利时信息安全研究院有限公司 | 1 |
| 48 | 杭州安恒信息技术股份有限公司 | 1 |
| 49 | 北京华顺信安信息技术有限公司 | 1 |
| 50 | 华易数安科技(吉林省)有限公司 | 1 |
| 收录总计 | 115 |
五重大漏洞通报
CNNVD关于****Palo Alto Networks PAN-OS
安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202411-2328、CVE-2024-0012)情况的报送。攻击者可以利用漏洞在未授权的情况下访问后台管理界面,进而获取管理员权限,控制目标设备。PAN-OS多个版本均受此漏洞影响。目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1.漏洞介绍
Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。Palo Alto Networks PAN-OS存在安全漏洞,该漏洞源于设备存在身份验证绕过问题,攻击者利用漏洞可以在未授权的情况下登录后台管理界面,进而获取管理员权限,控制目标设备。
2.危害影响
PAN-OS 10.2-10.2.12-h之前版本、PAN-OS 11.0-11.0.6-h之前版本、PAN-OS 11.1-11.1.5-h之前版本、PAN-OS 11.2-11.2.4-h1之前版本均受此漏洞影响。
3.修复建议
目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://security.paloaltonetworks.com/CVE-2024-0012
零基础入门网络安全
【----帮助网安学习,以下所有学习资料文末免费领取!----】
> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)
大纲
首先要找一份详细的大纲。
学习教程
第一阶段:零基础入门系列教程
该阶段学完即可年薪15w+
第二阶段:技术入门
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
面试刷题
最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。
但是,我觉得很多人拿到了却并不会去学习。
大部分人的问题看似是“如何行动”,其实是“无法开始”。
几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。
如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
