漏洞情况根据国家信息安全漏洞库(CNNVD)统计,本周(2025年2月10日至2025年2月16日)安全漏洞情况如下:
公开漏洞情况
本周CNNVD采集安全漏洞945个。
接报漏洞情况
本周CNNVD接报漏洞7117个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系统漏洞(事件型漏洞)46个,漏洞平台推送漏洞6690个。
重大漏洞通报
Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202502-1359、CVE-2025-0108):攻击者可以利用漏洞在未授权的情况下访问后台管理界面,进而获取管理员权限,控制目标设备。PAN-OS多个版本均受此漏洞影响。目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞945个,漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多,有195个;从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.70%。新增漏洞中,超危漏洞50个,高危漏洞352个,中危漏洞483个,低危漏洞60个。
(一) 安全漏洞增长数量情况
本周CNNVD采集安全漏洞945个。
图1 近五周漏洞新增数量统计图
(二) 安全漏洞分布情况
从厂商分布来看,WordPress基金会新增漏洞最多,有195个。各厂商漏洞数量分布如表1所示。
表1 新增安全漏洞排名前五厂商统计表
| 序号 | 厂商名称 | 漏洞数量(个) | 所占比例 |
| 1 | WordPress基金会 | 195 | 20.63% |
| 2 | 英特尔 | 64 | 6.77% |
| 3 | 微软 | 57 | 6.03% |
| 4 | Adobe | 45 | 4.76% |
| 5 | Q-Free | 43 | 4.55% |
本周国内厂商漏洞48个,腾达公司漏洞数量最多,有10个。国内厂商漏洞整体修复率为21.82%。请受影响用户关注厂商修复情况,及时下载补丁修复漏洞。
从漏洞类型来看,跨站脚本类的安全漏洞占比最大,达到12.70%。漏洞类型统计如表2所示。
表2 漏洞类型统计表
| 序号 | 漏洞类型 | 漏洞数量(个) | 所占比例 |
| 1 | 跨站脚本 | 120 | 12.70% |
| 2 | 代码问题 | 48 | 5.08% |
| 3 | 访问控制错误 | 43 | 4.55% |
| 4 | 缓冲区错误 | 39 | 4.13% |
| 5 | 输入验证错误 | 33 | 3.49% |
| 6 | 跨站请求伪造 | 26 | 2.75% |
| 7 | SQL注入 | 25 | 2.65% |
| 8 | 资源管理错误 | 23 | 2.43% |
| 9 | 路径遍历 | 19 | 2.01% |
| 10 | 代码注入 | 16 | 1.69% |
| 11 | 注入 | 15 | 1.59% |
| 12 | 授权问题 | 13 | 1.38% |
| 13 | 信息泄露 | 10 | 1.06% |
| 14 | 信任管理问题 | 8 | 0.85% |
| 15 | 操作系统命令注入 | 8 | 0.85% |
| 16 | 后置链接 | 7 | 0.74% |
| 17 | 竞争条件问题 | 5 | 0.53% |
| 18 | 命令注入 | 5 | 0.53% |
| 19 | 数据伪造问题 | 4 | 0.42% |
| 20 | 数字错误 | 3 | 0.32% |
| 21 | 格式化字符串错误 | 1 | 0.11% |
| 22 | 加密问题 | 1 | 0.11% |
| 23 | 其他 | 473 | 50.05% |
(三) 安全漏洞危害等级与修复情况
本周共发布超危漏洞50个,高危漏洞352个,中危漏洞483个,低危漏洞60个。相应修复率分别为54.00%、81.25%、73.50%和71.67%。根据补丁信息统计,合计711个漏洞已有修复补丁发布,整体修复率为75.24%。详细情况如表3所示。
表3 漏洞危害等级与修复情况
| 序号 | 危害等级 | 漏洞数量(个) | 修复数量(个) | 修复率 |
| 1 | 超危 | 50 | 27 | 54.00% |
| 2 | 高危 | 352 | 286 | 81.25% |
| 3 | 中危 | 483 | 355 | 73.50% |
| 4 | 低危 | 60 | 43 | 71.67% |
| 合计 | 945 | 711 | 75.24% | |
(四) 本周重要漏洞实例
本周重要漏洞实例如表4所示。
表4 本期重要漏洞实例
| 序号 | 漏洞编号 | 危害等级 |
| 1 | CNNVD-202502-1224 | 超危 |
| 2 | CNNVD-202502-1031 | 高危 |
| 3 | CNNVD-202502-1369 | 高危 |
1. WordPress plugin Security & Malware scan by CleanTalk 代码问题漏洞(CNNVD-202502-1224)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPress plugin Security & Malware scan by CleanTalk 2.149版本及之前版本存在代码问题漏洞,该漏洞源于在上传并提取.zip文件时未进行验证。攻击者利用该漏洞可以上传恶意文件并远程执行代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
Security & Malware scan by CleanTalk
2. Adobe Illustrator 资源管理错误漏洞(CNNVD-202502-1031)
Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。
Adobe Illustrator存在资源管理错误漏洞,该漏洞源于内存释放后重用。攻击者利用该漏洞可以在当前用户的环境中执行任意代码。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://helpx.adobe.com/security/products/illustrator/apsb25-11.html
3. Intel Processors 输入验证错误漏洞(CNNVD-202502-1369)
Intel Processors是美国英特尔(Intel)公司的一系列处理器。
Intel Processors存在输入验证错误漏洞,该漏洞源于UEFI固件对输入验证不当。攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,参考链接:
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-01139.html
二
漏洞平台推送情况
本周CNNVD接收漏洞平台推送漏洞6690个。
表5 本周漏洞平台推送情况
| 序号 | 漏洞平台 | 漏洞总量 |
| 1 | 漏洞盒子 | 5419 |
| 2 | 360漏洞云 | 908 |
| 3 | 补天平台 | 363 |
| 推送总计 | 6690 | |
三接报漏洞情况
本周CNNVD接报漏洞427个,其中信息技术产品漏洞(通用型漏洞)381个,网络信息系统漏洞(事件型漏洞)46个。
表6 本周漏洞报送情况
| 序号 | 报送单位 | 漏洞总量 |
| 1 | 超聚变数字技术有限公司 | 92 |
| 2 | 个人 | 44 |
| 3 | 星云博创科技有限公司 | 24 |
| 4 | 中电智安科技有限公司 | 22 |
| 5 | 华为技术有限公司 | 14 |
| 6 | 北京启明星辰信息安全技术有限公司 | 14 |
| 7 | 内蒙古旌云科技有限公司 | 12 |
| 8 | 北京长亭科技有限公司 | 8 |
| 9 | 南京聚铭网络科技有限公司 | 8 |
| 10 | 南京赛宁信息技术有限公司 | 7 |
| 11 | 浙江智臾科技有限公司 | 7 |
| 12 | 道普信息技术有限公司 | 7 |
| 13 | 北京五一嘉峪科技有限公司 | 7 |
| 14 | 北京天地和兴科技有限公司 | 7 |
| 15 | 北京珞安科技有限责任公司 | 6 |
| 16 | 苏州棱镜七彩信息科技有限公司 | 6 |
| 17 | 北京聚力荣源科技有限公司 | 6 |
| 18 | 北京安信天行科技有限公司 | 5 |
| 19 | 浙江大华技术股份有限公司 | 5 |
| 20 | 西安捷润数码科技有限公司 | 5 |
| 21 | 成都创信华通信息技术有限公司 | 4 |
| 22 | 北方实验室(沈阳)股份有限公司 | 4 |
| 23 | 北京安华金和科技有限公司 | 4 |
| 24 | 广州竞远安全技术股份有限公司 | 4 |
| 25 | 广东比特豹科技有限公司 | 4 |
| 26 | 北京云科安信科技有限公司 | 4 |
| 27 | 深圳市能信安科技股份有限公司 | 4 |
| 28 | 华易数安科技(吉林省)有限公司 | 4 |
| 29 | 中科信息安全共性技术国家工程研究中心有限公司 | 3 |
| 30 | 亚信科技(成都)有限公司 | 3 |
| 31 | 山东维平信息安全测评技术有限公司 | 3 |
| 32 | 杭州美创科技股份有限公司 | 3 |
| 33 | 上海雾见安全科技有限公司 | 3 |
| 34 | 广州非凡信息安全技术有限公司 | 3 |
| 35 | 北京门石信息技术有限公司 | 3 |
| 36 | 上海谋乐网络科技有限公司 | 3 |
| 37 | 北京天融信网络安全技术有限公司 | 3 |
| 38 | 杭州海康威视数字技术股份有限公司 | 2 |
| 39 | 西安隆基智能技术有限公司 | 2 |
| 40 | 中科数测固源科技(安徽)有限公司 | 2 |
| 41 | 北京安普诺信息技术有限公司 | 2 |
| 42 | 杭州孝道科技有限公司 | 2 |
| 43 | 广西网信信息技术有限公司 | 2 |
| 44 | 思而听(山东)网络科技有限公司 | 2 |
| 45 | 北京智游网安科技有限公司 | 2 |
| 46 | 北京容辉智信科技有限公司 | 2 |
| 47 | 苏州如意云网络科技有限公司 | 2 |
| 48 | 北京神州绿盟科技有限公司 | 2 |
| 49 | 马鞍山书拓安全科技有限公司 | 2 |
| 50 | 新华三技术有限公司 | 2 |
| 51 | 内蒙古大唐国际托克托发电有限责任公司 | 2 |
| 52 | 成都思维世纪科技有限责任公司 | 2 |
| 53 | 途耀信息技术(上海)有限公司 | 2 |
| 54 | 联通数字科技有限公司 | 2 |
| 55 | 北京安帝科技有限公司 | 2 |
| 56 | 杭州中尔网络科技有限公司 | 2 |
| 57 | 中通服创发科技有限责任公司 | 1 |
| 58 | 天津展望互联网络安全系统技术开发有限公司 | 1 |
| 59 | 天津市兴先道科技有限公司 | 1 |
| 60 | 内蒙古信息系统安全等级测评中心 | 1 |
| 61 | 四川诚安数科信息科技有限公司 | 1 |
| 62 | 杭州迪普科技股份有限公司 | 1 |
| 63 | 北京天下信安技术有限公司 | 1 |
| 64 | 成都恒睿达科技有限公司 | 1 |
| 65 | 京东科技信息技术有限公司 | 1 |
| 66 | 内蒙古启正信息科技有限公司 | 1 |
| 67 | 北京微步在线科技有限公司 | 1 |
| 68 | 北京中金安服科技有限公司 | 1 |
| 69 | 成都安美勤信息技术股份有限公司 | 1 |
| 70 | 赛尔网络有限公司 | 1 |
| 71 | 郑州云智信安安全技术有限公司 | 1 |
| 72 | 北京卓识网安技术股份有限公司 | 1 |
| 73 | 山西晋信安科技有限公司 | 1 |
| 74 | 西安交大捷普网络科技有限公司 | 1 |
| 75 | 北京国信城研科学技术研究院 | 1 |
| 76 | 上海戎磐网络科技有限公司 | 1 |
| 77 | 安恒愿景(成都)信息科技有限公司 | 1 |
| 78 | 东方电气中能工控网络安全技术(成都)有限责任公司 | 1 |
| 79 | 塞讯信息技术(上海)有限公司 | 1 |
| 80 | 北京边界无限科技有限公司 | 1 |
| 报送总计 | 427 | |
四收录漏洞通报情况
本周CNNVD收录漏洞通报130份。
表7 本周漏洞通报情况
| 序号 | 报送单位 | 通报总量 |
| 1 | 奇安信网神信息技术(北京)股份有限公司 | 14 |
| 2 | 中孚安全技术有限公司 | 7 |
| 3 | 超聚变数字技术有限公司 | 6 |
| 4 | 杭州迪普科技股份有限公司 | 6 |
| 5 | 北京云科安信科技有限公司 | 6 |
| 6 | 西安捷润数码科技有限公司 | 5 |
| 7 | 北京智游网安科技有限公司 | 5 |
| 8 | 北京华云安信息技术有限公司 | 5 |
| 9 | 北京安普诺信息技术有限公司 | 4 |
| 10 | 华为技术有限公司 | 4 |
| 11 | 四川汉安数智科技有限公司 | 3 |
| 12 | 北京神州绿盟科技有限公司 | 3 |
| 13 | 内蒙古大唐国际托克托发电有限责任公司 | 3 |
| 14 | 上海戟安科技有限公司 | 2 |
| 15 | 北京门石信息技术有限公司 | 2 |
| 16 | 湖南泛联新安信息科技有限公司 | 2 |
| 17 | 上海三零卫士信息安全有限公司 | 2 |
| 18 | 北京安帝科技有限公司 | 2 |
| 19 | 深信服科技股份有限公司 | 2 |
| 20 | 万宗网络科技(上海)有限公司 | 2 |
| 21 | 内蒙古启正信息科技有限公司 | 2 |
| 22 | 博智安全科技股份有限公司 | 2 |
| 23 | 北京威努特技术有限公司 | 2 |
| 24 | 云上广济(贵州)信息技术有限公司 | 2 |
| 25 | 上海雾见安全科技有限公司 | 2 |
| 26 | 四川诚安数科信息科技有限公司 | 1 |
| 27 | 北京天下信安技术有限公司 | 1 |
| 28 | 贵州蓝天创新科技有限公司 | 1 |
| 29 | 京铁云智慧物流科技有限公司 | 1 |
| 30 | 深圳市深信服信息安全有限公司 | 1 |
| 31 | 北京有略安全技术有限公司 | 1 |
| 32 | 广东比特豹科技有限公司 | 1 |
| 33 | 北京信联数安科技有限公司 | 1 |
| 34 | 天津市兴先道科技有限公司 | 1 |
| 35 | 北京珞安科技有限责任公司 | 1 |
| 36 | 成都信息工程大学 | 1 |
| 37 | 广州纬安科技有限公司 | 1 |
| 38 | 上海矢安科技有限公司 | 1 |
| 39 | 华易数安科技(吉林省)有限公司 | 1 |
| 40 | 北京安华金和科技有限公司 | 1 |
| 41 | 中国电信股份有限公司网络安全产品运营中心 | 1 |
| 42 | 成都安美勤信息技术股份有限公司 | 1 |
| 43 | 广州非凡信息安全技术有限公司 | 1 |
| 44 | 成都创信华通信息技术有限公司 | 1 |
| 45 | 新华三技术有限公司 | 1 |
| 46 | 广东创科安全科技有限公司 | 1 |
| 47 | 郑州云智信安安全技术有限公司 | 1 |
| 48 | 途耀信息技术(上海)有限公司 | 1 |
| 49 | 浪潮电子信息产业股份有限公司 | 1 |
| 50 | 河南灵创电子科技有限公司 | 1 |
| 51 | 中电智安科技有限公司 | 1 |
| 52 | 杭州安恒信息技术股份有限公司 | 1 |
| 53 | 西安交大捷普网络科技有限公司 | 1 |
| 54 | 北京聚力荣源科技有限公司 | 1 |
| 55 | 北京启明星辰信息安全技术有限公司 | 1 |
| 56 | 云盾智慧安全科技有限公司 | 1 |
| 57 | 江苏君立华域信息安全技术股份有限公司 | 1 |
| 58 | 塞讯信息技术(上海)有限公司 | 1 |
| 59 | 星云博创科技有限公司 | 1 |
| 60 | 北京山石网科信息技术有限公司 | 1 |
| 收录总计 | 130 | |
五重大漏洞通报
CNNVD关于Palo Alto Networks PAN-OS
安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于Palo Alto Networks PAN-OS 安全漏洞(CNNVD-202502-1359、CVE-2025-0108)情况的报送。攻击者可以利用漏洞在未授权的情况下访问后台管理界面,进而获取管理员权限,控制目标设备。PAN-OS多个版本均受此漏洞影响。目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1.漏洞介绍
Palo Alto Networks PAN-OS是美国Palo Alto Networks公司的一套为其防火墙设备开发的操作系统。漏洞源于程序对路径的处理不当导致,攻击者可利用漏洞可以绕过身份验证访问Web管理界面,进而获取管理员权限,控制目标设备。
2.危害影响
PAN-OS 10.1-10.1.14-h6之前版本、PAN-OS 10.2-10.2.12-h2之前版本、PAN-OS 11.0-11.0.6-h1之前版本、PAN-OS 11.1-11.1.5-h1之前版本、PAN-OS 11.2-11.2.4-h1之前版本均受此漏洞影响。
3.修复建议
目前,Palo Alto Networks官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://security.paloaltonetworks.com/CVE-2025-0108
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/4087.html
