您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240513-20240519)
一、境外廠商產(chǎn)品漏洞
1、Apache James MIME4J輸入驗(yàn)證錯(cuò)誤漏洞
Apache James MIME4J是美國阿帕奇(Apache)基金會(huì)的一個(gè)庫??捎糜诮馕黾價(jià)fc822和MIME格式的電子郵件消息流,并構(gòu)建電子郵件消息的樹表示。Apache James MIME4J 0.8.9及之前版本存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請(qǐng)求,向MIME消息添加意外的標(biāo)頭。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22236
2、Siemens Parasolid X_T文件越界寫入漏洞
Siemens Parasolid是一種三維幾何建模工具,支持各種技術(shù),包括實(shí)體建模、直接編輯和自由曲面/圖紙建模。Siemens Parasolid X_T文件存在越界寫入漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23108
3、IBM Aspera Faspex日志信息泄露漏洞
IBM Aspera是美國國際商業(yè)機(jī)器(IBM)公司的一套基于IBM FASP協(xié)議構(gòu)建的快速文件傳輸和流解決方案。IBM Aspera Faspex存在日志信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22249
4、Siemens Solid Edge越界讀取漏洞(CNVD-2024-23112)
Siemens Solid Edge是德國西門子(Siemens)公司的一款三維CAD軟件。該軟件可用于零件設(shè)計(jì)、裝配設(shè)計(jì)、鈑金設(shè)計(jì)、焊接設(shè)計(jì)等行業(yè)。Siemens Solid Edge存在越界讀取漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23112
5、IBM Aspera Faspex拒絕服務(wù)漏洞
IBM Aspera是美國國際商業(yè)機(jī)器(IBM)公司的一套基于IBM FASP協(xié)議構(gòu)建的快速文件傳輸和流解決方案。IBM Aspera Faspex存在拒絕服務(wù)漏洞,該漏洞源于缺少API速率限制,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22246
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在信息泄露漏洞
北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21776
2、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-22713)
U8 Cloud是一款企業(yè)上云數(shù)字化平臺(tái),集交易、服務(wù)、管理于一體的ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22713
3、D-Link DIR-845L命令執(zhí)行漏洞
D-Link DIR-845L是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-845L存在命令執(zhí)行漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請(qǐng)求在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23132
4、北京亞控科技發(fā)展有限公司KingSuperSCADA運(yùn)行系統(tǒng)客戶端存在信息泄露漏洞(CNVD-2024-18096)
北京亞控科技發(fā)展有限公司簡(jiǎn)稱“亞控科技”,是一家成立于1997年的工業(yè)自動(dòng)化和信息化軟件平臺(tái)高科技企業(yè)。北京亞控科技發(fā)展有限公司KingSuperSCADA運(yùn)行系統(tǒng)客戶端存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18096
5、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-22710)
U8 Cloud是一款企業(yè)上云數(shù)字化平臺(tái),集交易、服務(wù)、管理于一體的ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22710
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)