信息安全漏洞周报，从零基础到精通，收藏这篇就够了！

最新推荐文章于 2025-07-03 04:00:44 发布

程序员霸哥

最新推荐文章于 2025-07-03 04:00:44 发布

阅读量703

点赞数 19

CC 4.0 BY-SA版权

分类专栏：计算机工具网络安全程序员文章标签：安全 web安全网络云计算腾讯云 python java

本文链接：https://blog.youkuaiyun.com/logic1001/article/details/146482349

程序员同时被 3 个专栏收录

2840 篇文章

订阅专栏

网络安全

2693 篇文章

订阅专栏

计算机工具

1658 篇文章

订阅专栏

漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周（2025年1月13日至2025年1月19日）安全漏洞情况如下：

公开漏洞情况

本周CNNVD采集安全漏洞1292个。

接报漏洞情况

本周CNNVD接报漏洞22643个，其中信息技术产品漏洞（通用型漏洞）325个，网络信息系统漏洞（事件型漏洞）129个，漏洞平台推送漏洞22189个。

重大漏洞通报

Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55591)：未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求，进而获得超级管理员权限。FortiOS和FortiProxy多个版本均受此漏洞影响。目前，Fortinet官方已发布新版本修复了漏洞，建议用户及时确认产品版本，尽快采取修补措施。

一

公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，本周新增安全漏洞1292个，漏洞新增数量有所上升。从厂商分布来看WordPress基金会新增漏洞最多，有359个；从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到17.11%。新增漏洞中，超危漏洞94个，高危漏洞289个，中危漏洞886个，低危漏洞23个。

（一）安全漏洞增长数量情况

本周CNNVD采集安全漏洞1292个。

图1 近五周漏洞新增数量统计图

（二）安全漏洞分布情况

从厂商分布来看，WordPress基金会新增漏洞最多，有359个。各厂商漏洞数量分布如表1所示。

表1 新增安全漏洞排名前五厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress基金会	359	27.79%
2	微软	160	12.38%
3	Linux基金会	83	6.42%
4	睿因	62	4.80%
5	Fortinet	51	3.95%

本周国内厂商漏洞136个，睿因公司漏洞数量最多，有62个。国内厂商漏洞整体修复率为57.35%。请受影响用户关注厂商修复情况，及时下载补丁修复漏洞。

从漏洞类型来看，跨站脚本类的安全漏洞占比最大，达到17.11%。漏洞类型统计如表2所示。

表2 漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	跨站脚本	221	17.11%
2	跨站请求伪造	115	8.90%
3	缓冲区错误	40	3.10%
4	代码问题	34	2.63%
5	SQL注入	31	2.40%
6	资源管理错误	25	1.93%
7	注入	24	1.86%
8	访问控制错误	18	1.39%
9	命令注入	15	1.16%
10	信息泄露	13	1.01%
11	输入验证错误	13	1.01%
12	路径遍历	13	1.01%
13	操作系统命令注入	11	0.85%
14	代码注入	10	0.77%
15	授权问题	9	0.70%
16	日志信息泄露	8	0.62%
17	数字错误	4	0.31%
18	数据伪造问题	3	0.23%
19	信任管理问题	3	0.23%
20	竞争条件问题	3	0.23%
21	后置链接	2	0.15%
22	加密问题	1	0.08%
23	其他	676	52.32%

（三）安全漏洞危害等级与修复情况

本周共发布超危漏洞94个，高危漏洞289个，中危漏洞886个，低危漏洞23个。相应修复率分别为97.87%、74.05%、76.64%和73.91%。根据补丁信息统计，合计1002个漏洞已有修复补丁发布，整体修复率为77.55%。详细情况如表3所示。

表3 漏洞危害等级与修复情况

序号	危害等级	漏洞数量(个)	修复数量(个)	修复率
1	超危	94	92	97.87%
2	高危	289	214	74.05%
3	中危	886	679	76.64%
4	低危	23	17	73.91%
合计		1292	1002	77.55%

（四）本周重要漏洞实例

本周重要漏洞实例如表4所示。

表4 本期重要漏洞实例

序号	漏洞编号	危害等级
1	CNNVD-202501-1944	超危
2	CNNVD-202501-2800	高危
3	CNNVD-202501-2708	高危

1. Microsoft OLE 资源管理错误漏洞（CNNVD-202501-1944）

Microsoft OLE是美国微软（Microsoft）公司的一种面向对象的技术。

Microsoft OLE存在资源管理错误漏洞，该漏洞源于内存释放后重用。攻击者利用该漏洞可以远程执行代码。以下产品和版本受到影响：Windows Server 2019 (Server Core installation),Windows Server 2022,Windows Server 2022 (Server Core installation),Windows 10 Version 21H2 for 32-bit Systems,Windows 10 Version 21H2 for ARM64-based Systems,Windows 10 Version 21H2 for x64-based Systems,Windows 11 Version 22H2 for ARM64-based Systems,Windows 11 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for x64-based Systems,Windows 10 Version 22H2 for ARM64-based Systems,Windows 10 Version 22H2 for 32-bit Systems,Windows Server 2025 (Server Core installation),Windows 11 Version 23H2 for ARM64-based Systems,Windows 11 Version 23H2 for x64-based Systems,Windows Server 2022, 23H2 Edition (Server Core installation),Windows 11 Version 24H2 for ARM64-based Systems,Windows 11 Version 24H2 for x64-based Systems,Windows Server 2025,Windows 10 for 32-bit Systems,Windows 10 for x64-based Systems,Windows 10 Version 1607 for 32-bit Systems,Windows 10 Version 1607 for x64-based Systems,Windows Server 2016,Windows Server 2016 (Server Core installation),Windows Server 2008 for 32-bit Systems Service Pack 2,Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation),Windows Server 2008 for x64-based Systems Service Pack 2,Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation),Windows Server 2008 R2 for x64-based Systems Service Pack 1,Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation),Windows Server 2012,Windows Server 2012 (Server Core installation),Windows Server 2012 R2,Windows Server 2012 R2 (Server Core installation),Windows 10 Version 1809 for 32-bit Systems,Windows 10 Version 1809 for x64-based Systems,Windows Server 2019。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298

2. IBM TXSeries for Multiplatforms 安全漏洞（CNNVD-202501-2800）

IBM TXSeries for Multiplatforms是美国国际商业机器（IBM）公司的一种事务处理监控和管理的软件产品，它旨在支持多平台上的分布式事务处理。

IBM TXSeries for Multiplatforms 10.1版本存在安全漏洞，该漏洞源于资源分配不当。攻击者利用该漏洞可以导致程序拒绝服务。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://www.ibm.com/support/pages/node/7172103

3. WordPress plugin Ultimate Member SQL注入漏洞（CNNVD-202501-2708）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPress plugin Ultimate Member 2.9.1版本及之前版本存在SQL注入漏洞，该漏洞源于对用户提供的参数转义不足，以及对现有SQL查询准备不足。攻击者利用该漏洞可以从数据库中提取敏感信息。

目前厂商已发布升级补丁以修复漏洞，参考链接：

https://wordpress.org/plugins/ultimate-member/

二

漏洞平台推送情况

本周CNNVD接收漏洞平台推送漏洞22189个。

表5 本周漏洞平台推送情况

序号	漏洞平台	漏洞总量
1	漏洞盒子	19679
2	360漏洞云	2262
3	补天平台	248
推送总计		22189

三

接报漏洞情况

本周CNNVD接报漏洞454个，其中信息技术产品漏洞（通用型漏洞）325个，网络信息系统漏洞（事件型漏洞）129个。

表6 本周漏洞报送情况

序号	报送单位	漏洞总量
1	内蒙古数字安全科技有限公司	125
2	超聚变数字技术有限公司	51
3	个人	35
4	内蒙古思沃科技有限公司	23
5	北京天融信网络安全技术有限公司	20
6	北京天下信安技术有限公司	17
7	深信服科技股份有限公司	14
8	科来网络技术股份有限公司	11
9	北京云科安信科技有限公司	10
10	华为技术有限公司	9
11	成都卫士通信息安全技术有限公司	8
12	北京长亭科技有限公司	8
13	北京微步在线科技有限公司	6
14	网宿科技股份有限公司	6
15	途耀信息技术（上海）有限公司	6
16	中国银联股份有限公司	5
17	北京雪诺科技有限公司	5
18	奇安信网神信息技术（北京）股份有限公司	4
19	北京启明星辰信息安全技术有限公司	4
20	南京聚铭网络科技有限公司	4
21	湖南泛联新安信息科技有限公司	4
22	广州竞远安全技术股份有限公司	4
23	三六零数字安全科技集团有限公司	3
24	亚信科技（成都）有限公司	3
25	苏州棱镜七彩信息科技有限公司	3
26	成都安美勤信息技术股份有限公司	3
27	内蒙古洞明科技有限公司	3
28	北京安普诺信息技术有限公司	3
29	杭州美创科技股份有限公司	3
30	上海谋乐网络科技有限公司	3
31	安恒愿景（成都）信息科技有限公司	3
32	北京安信天行科技有限公司	2
33	北京安帝科技有限公司	2
34	中科数测固源科技（安徽）有限公司	2
35	南京赛宁信息技术有限公司	2
36	江苏君立华域信息安全技术股份有限公司	2
37	四维创智（北京）科技发展有限公司	2
38	成都创信华通信息技术有限公司	2
39	山东维平信息安全测评技术有限公司	2
40	内蒙古信息系统安全等级测评中心	2
41	沈阳禾信智安信息技术有限公司	2
42	上海螣龙科技有限公司	2
43	内蒙古中叶信息技术有限责任公司	2
44	北京信联数安科技有限公司	1
45	万宗网络科技（上海）有限公司	1
46	博智安全科技股份有限公司	1
47	浙江宇视科技有限公司	1
48	沥泉科技（成都）有限公司	1
49	江苏国保信息系统测评中心有限公司	1
50	杭州迪普科技股份有限公司	1
51	京东科技信息技术有限公司	1
52	中电智安科技有限公司	1
53	浙江国利网安科技有限公司	1
54	北方实验室（沈阳）股份有限公司	1
55	上海三零卫士信息安全有限公司	1
56	金盾检测技术股份有限公司	1
57	北京门石信息技术有限公司	1
58	北京天防安全科技有限公司	1
59	北京时代新威信息技术有限公司	1
60	上海戎磐网络科技有限公司	1
61	信飛科技有限公司	1
62	赛尔网络有限公司	1
63	南京南瑞信息通信科技有限公司	1
64	中乾建技术有限公司	1
65	西安交大捷普网络科技有限公司	1
66	联通数字科技有限公司	1
67	杭州安恒信息技术股份有限公司	1
报送总计		454

四

收录漏洞通报情况

本周CNNVD收录漏洞通报136份。

表7 本周漏洞通报情况

序号	报送单位	通报总量
1	奇安信网神信息技术（北京）股份有限公司	23
2	中孚安全技术有限公司	18
3	超聚变数字技术有限公司	17
4	华为技术有限公司	7
5	杭州迪普科技股份有限公司	6
6	浙江宇视科技有限公司	4
7	北京神州绿盟科技有限公司	4
8	北京安帝科技有限公司	4
9	上海安几科技有限公司	4
10	湖南安服信息技术有限公司	3
11	北京安信天行科技有限公司	3
12	杭州安恒信息技术股份有限公司	3
13	西安交大捷普网络科技有限公司	3
14	远江盛邦(北京)网络安全科技股份有限公司	2
15	丽水市宏志数码科技有限公司	2
16	上海戎磐网络科技有限公司	2
17	北京威努特技术有限公司	2
18	内蒙古旌云科技有限公司	2
19	重庆梦之想科技有限责任公司	2
20	锐捷网络股份有限公司	2
21	统信软件技术有限公司	1
22	苏州棱镜七彩信息科技有限公司	1
23	山西轩辕信息安全技术有限公司	1
24	沥泉科技（成都）有限公司	1
25	北京数智久安科技有限公司	1
26	深圳市深信服信息安全有限公司	1
27	京铁云智慧物流科技有限公司	1
28	北京信联数安科技有限公司	1
29	贵州粟詈网络科技有限公司	1
30	北京天融信网络安全技术有限公司	1
31	北京安天网络安全技术有限公司	1
32	北京门石信息技术有限公司	1
33	北京山石网科信息技术有限公司	1
34	北京时代新威信息技术有限公司	1
35	山东维平信息安全测评技术有限公司	1
36	南京聚铭网络科技有限公司	1
37	深信服科技股份有限公司	1
38	长扬科技（北京）股份有限公司	1
39	杭州榕数科技有限公司	1
40	浪潮电子信息产业股份有限公司	1
41	广州非凡信息安全技术有限公司	1
42	北京国科数安科技有限公司	1
43	中国电信股份有限公司网络安全产品运营中心	1
收录总计		136

五

重大漏洞通报

CNNVD关于Fortinet FortiOS和FortiProxy

安全漏洞的通****报

近日，国家信息安全漏洞库（CNNVD）收到关于Fortinet FortiOS和FortiProxy安全漏洞(CNNVD-202501-1747、CVE-2024-55591)情况的报送。未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求，进而获得超级管理员权限。FortiOS和FortiProxy多个版本均受此漏洞影响。目前，Fortinet官方已发布新版本修复了漏洞，建议用户及时确认产品版本，尽快采取修补措施。

1.漏洞介绍

Fortinet FortiOS和Fortinet FortiProxy都是美国飞塔（Fortinet）公司的产品。Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御等保护用户免受网络攻击。FortiOS和FortiProxy中存在一个身份认证绕过漏洞。未经身份验证的远程攻击者可以通过向Node.js websocket模块发送特制请求利用该漏洞，进而获得超级管理员权限。

2.危害影响

FortiOS 7.0.0版本-7.0.16版本，FortiProxy 7.2.0版本-7.2.12版本，FortiProxy 7.0.0版本-7.0.19版本均受漏洞影响。

3.修复建议

目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接如下：

https://fortiguard.fortinet.com/psirt/FG-IR-24-535