您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240325-20240331)
一、境外廠商產(chǎn)品漏洞
1、Apache Superset資源管理錯誤漏洞(CNVD-2024-14775)
Apache Superset是美國阿帕奇(Apache)基金會的一個數(shù)據(jù)可視化和數(shù)據(jù)探索平臺。Apache Superset 2.1.2及之前版本、3.0.0版本和3.0.1版本存在資源管理錯誤漏洞,該漏洞源于應(yīng)用存在不受控制的資源消耗,經(jīng)過身份驗證的攻擊者可利用該漏洞上傳惡意ZIP可能會觸發(fā)不受控制的資源消耗。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14775
2、Fortinet FortiPortal授權(quán)問題漏洞
Fortinet FortiPortal是美國飛塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級、功能豐富的托管安全分析和管理支持工具,可作為虛擬機(jī)供MSP使用。Fortinet FortiPortal存在授權(quán)問題漏洞,該漏洞源于存在不正確授權(quán)。攻擊者可利用該漏洞通過修改請求負(fù)載來下載其他組織的報告。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14760
3、Linux kernel io_uring SQ/CQ函數(shù)拒絕服務(wù)漏洞
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在拒絕服務(wù)漏洞,該漏洞源于io_uring SQ/CQ函數(shù)中發(fā)現(xiàn)了越界內(nèi)存訪問,攻擊者可利用該漏洞導(dǎo)致系統(tǒng)崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14769
4、IBM Integration Bus for z/OS跨站請求偽造漏洞
IBM Integration Bus(IBM WebSphere Message Broker)是美國國際商業(yè)機(jī)器(IBM)公司的一款企業(yè)服務(wù)總線(ESB)產(chǎn)品。該產(chǎn)品為面向服務(wù)架構(gòu)(SOA)環(huán)境和非SOA環(huán)境提供連通性和通用數(shù)據(jù)轉(zhuǎn)換。IBM Integration Bus for z/OS存在跨站請求偽造漏洞,攻擊者可利用該漏洞執(zhí)行從網(wǎng)站信任的用戶傳輸?shù)膼阂夂臀唇?jīng)授權(quán)的操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14666
5、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-14653)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞將惡意腳本注入易受攻擊的網(wǎng)頁中。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14653
二、境內(nèi)廠商產(chǎn)品漏洞
1、遠(yuǎn)秋醫(yī)學(xué)在線考試系統(tǒng)存在SQL注入漏洞(CNVD-2023-19468)
重慶遠(yuǎn)秋科技有限公司是國內(nèi)首家專業(yè)從事醫(yī)學(xué)信息收集、醫(yī)用數(shù)據(jù)庫開發(fā)的大型情報服務(wù)機(jī)構(gòu)。遠(yuǎn)秋醫(yī)學(xué)在線考試系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19468
2、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞(CNVD-2024-13697)
北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13697
3、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞(CNVD-2024-13698)
北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13698
4、Huawei HarmonyOS和EMUI音頻模塊配置缺陷漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI是華為公司開發(fā)的一種基于Android操作系統(tǒng)的用戶界面。Huawei HarmonyOS和EMUI音頻模塊存在配置缺陷漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14985
5、Huawei HarmonyOS VerifiedBoot模塊鑒權(quán)錯誤漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS VerifiedBoot模塊存在鑒權(quán)錯誤漏洞,攻擊者可利用該漏洞影響系統(tǒng)完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14984
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺