您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240318-20240324)
一、境外廠商產(chǎn)品漏洞
1、Apache Tomcat輸入驗證錯誤漏洞
Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13568
2、Delinea PAM Secret Server信息泄露漏洞
Delinea PAM Secret Server是Delinea公司的一款密鑰服務(wù)管理器。Delinea PAM Secret Server 11.4版本存在信息泄露漏洞,攻擊者可利用該漏洞從內(nèi)存轉(zhuǎn)儲讀取數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14050
3、Tenda W9越界寫入漏洞(CNVD-2024-14372)
Tenda W9是中國騰達(Tenda)公司的一款無線入墻接入點。Tenda W9 1.0.0.7版本存在越界寫入漏洞,該漏洞源于formOfflineSet函數(shù)的ssidIndex參數(shù)存在基于堆棧的緩沖區(qū)溢出。攻擊者可以利用該漏洞注入惡意代碼,從而竊取敏感信息或者破壞系統(tǒng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14372
4、Siemens Simcenter Femap緩沖區(qū)溢出漏洞(CNVD-2024-13809)
Siemens Simcenter Femap是德國西門子(Siemens)公司的一款尖端工程學(xué)仿真應(yīng)用程序。用于創(chuàng)建、編輯和導(dǎo)入/重用復(fù)雜產(chǎn)品或系統(tǒng)基于網(wǎng)格的有限元分析模型。Siemens Simcenter Femap V2306.0000之前版本存在緩沖區(qū)溢出漏洞,該漏洞源于在解析Catia MODEL文件時沒有檢查緩沖區(qū)輸入大小,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)或者代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13809
5、Apache Tomcat拒絕服務(wù)漏洞(CNVD-2024-13569)
Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞增加資源消耗,導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13569
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC9緩沖區(qū)溢出漏洞(CNVD-2024-14374)
Tenda AC9是中國騰達(Tenda)公司的一款無線路由器。Tenda AC9存在緩沖區(qū)溢出漏洞。該漏洞源于setSchedWifi函數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞通過特制的溢出數(shù)據(jù)造成拒絕服務(wù)或運行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14374
2、Tenda AC10U formSetSpeedWan函數(shù)緩沖區(qū)溢出漏洞
Tenda AC10U是中國騰達(Tenda)公司的一款無線路由器。Tenda AC10U存在緩沖區(qū)溢出漏洞,該漏洞源于formSetSpeedWan函數(shù)中的speed_dir參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13797
3、上海卓卓網(wǎng)絡(luò)科技有限公司DedeCMS存在SQL注入漏洞(CNVD-2024-13237)
DedeCMS是國內(nèi)最知名的PHP開源網(wǎng)站管理系統(tǒng),也是使用用戶最多的PHP類CMS系統(tǒng)。上海卓卓網(wǎng)絡(luò)科技有限公司DedeCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13237
4、TOTOLINK EX1800T命令執(zhí)行漏洞
TOTOLINK EX1800T是中國吉翁電子(TOTOLINK)公司的一款Wi-Fi范圍擴展器。TOTOLINK EX1800T存在命令執(zhí)行漏洞。該漏洞源于cstecgi .cgi的setLanguageCfg接口的langFlag參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13794
5、萬戶ezOFFICE協(xié)同管理平臺存在文件上傳漏洞(CNVD-2024-14208)
萬戶ezOFFICE協(xié)同管理平臺是一個綜合信息基礎(chǔ)應(yīng)用平臺。萬戶ezOFFICE協(xié)同管理平臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14208
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺