您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240304-20240310)
一、境外廠商產(chǎn)品漏洞
1、IBM Security Guardium操作系統(tǒng)命令注入漏洞(CNVD-2024-11735)
IBM Security Guardium是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線化的審計(jì)流程構(gòu)建等功能。IBM Security Guardium Key Lifecycle Manager存在操作系統(tǒng)命令注入漏洞,經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞通過發(fā)送特制請(qǐng)求來在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11735
2、Microsoft Win32K權(quán)限提升漏洞(CNVD-2024-11164)
Microsoft Win32k是美國(guó)微軟(Microsoft)公司的一個(gè)用于Windows多用戶管理的系統(tǒng)文件。Microsoft Win32K存在權(quán)限提升漏洞,攻擊者可利用該漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11164
3、Microsoft Visual Studio權(quán)限提升漏洞(CNVD-2024-11163)
Microsoft Visual Studio是美國(guó)微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個(gè)基本完整的開發(fā)工具集,它包括了整個(gè)軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在權(quán)限提升漏洞,攻擊者可利用此漏洞獲取SYSTEM權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11163
4、Adobe Substance 3D Painter緩沖區(qū)溢出漏洞(CNVD-2024-11673)
Adobe Substance 3D Painter是美國(guó)奧多比(Adobe)公司的一個(gè)3D紋理處理應(yīng)用程序。Adobe Substance 3D Painter 9.1.1及之前版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼,導(dǎo)致應(yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11673
5、Microsoft Hyper-V拒絕服務(wù)漏洞(CNVD-2024-11161)
Microsoft Hyper-V是美國(guó)微軟(Microsoft)公司的一個(gè)應(yīng)用程序。一種系統(tǒng)管理程序虛擬化技術(shù),能夠?qū)崿F(xiàn)桌面虛擬化。Microsoft Hyper-V存在拒絕服務(wù)漏洞。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11161
二、境內(nèi)廠商產(chǎn)品漏洞
1、D-Link GO-RT-AC750跨站腳本漏洞
D-Link GO-RT-AC750是中國(guó)友訊(D-Link)公司的一款無線雙頻簡(jiǎn)易路由器。D-Link GO-RT-AC750存在跨站腳本漏洞,該漏洞源于dlapn.cgi、dldongle.cgi等組件中對(duì)用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12209
2、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄漏漏洞(CNVD-2024-10034)
電子文檔安全管理系統(tǒng)是一款可控授權(quán)的電子文檔安全共享管理系統(tǒng),采用實(shí)時(shí)動(dòng)態(tài)加解密保護(hù)技術(shù)和實(shí)時(shí)權(quán)限回收機(jī)制,提供對(duì)各類電子文檔內(nèi)容級(jí)的安全保護(hù)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄漏漏洞,攻擊者可利用該漏洞獲取用戶密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10034
3、Huawei HarmonyOS和EMUI信息泄露漏洞(CNVD-2024-12232)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei EMUI是華為公司開發(fā)的一種基于Android操作系統(tǒng)的用戶界面。Huawei HarmonyOS和EMUI存在信息泄露漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12232
4、英萬齊軟件技術(shù)(北京)有限公司Ivanti Connect Secure存在命令執(zhí)行漏洞
Ivanti Connect Secure是一款為遠(yuǎn)程和移動(dòng)用戶提供了一個(gè)無縫的、具有成本效益的SSL VPN解決方案。英萬齊軟件技術(shù)(北京)有限公司Ivanti Connect Secure存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10044
5、浙江大華技術(shù)股份有限公司DSS存在任意文件下載漏洞(CNVD-2024-10023)
浙江大華技術(shù)股份有限公司是監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司DSS存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10023
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)