您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240603-20240609)
一、境外廠商產(chǎn)品漏洞
1、Adobe Commerce資源管理錯誤漏洞(CNVD-2024-25603)
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce 2.4.7版本之前存在資源管理錯誤漏洞,該漏洞源于受到不受控制的資源消耗漏洞的影響,攻擊者可利用該漏洞導(dǎo)致輕微的應(yīng)用程序拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25603
2、WordPress Boostify Header Footer Builder for Elementor plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。WordPress plugin Boostify Header Footer Builder for Elementor 1.3.2版本及之前版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者利用該漏洞可以通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26457
3、Mozilla Firefox for iOS安全繞過漏洞(CNVD-2024-25613)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox for iOS存在安全繞過漏洞,該漏洞是由于拖動到地址欄時加載Javascript URL造成的。攻擊者可利用該漏洞繞過限制和安全保護(hù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25613
4、Microsoft OLE DB Driver for SQL Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2024-25653)
Microsoft OLE DB Driver for SQL Server是獨(dú)立的數(shù)據(jù)訪問應(yīng)用程序編程接口 (API),用于OLE DB。Microsoft OLE DB Driver for SQL Server存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過說服受害者打開特制的內(nèi)容,在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25653
5、Adobe Commerce輸入驗(yàn)證錯誤漏洞(CNVD-2024-25611)
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在輸入驗(yàn)證錯誤漏洞,該漏洞源于不正確輸入驗(yàn)證。經(jīng)過身份驗(yàn)證的攻擊者可以在`V1/customers/me`端點(diǎn)中觸發(fā)不安全的直接對象引用,以實(shí)現(xiàn)信息公開和權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25611
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞
億賽通數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)是一款融合機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析、文檔加密、訪問控制、關(guān)聯(lián)分析、數(shù)據(jù)標(biāo)識等技術(shù)的綜合性數(shù)據(jù)安全產(chǎn)品。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23009
2、普元信息技術(shù)股份有限公司微服務(wù)平臺存在命令執(zhí)行漏洞
普元信息技術(shù)股份有限公司是國內(nèi)軟件基礎(chǔ)平臺(中間件)專業(yè)提供商,主要為金融、政務(wù)、能源、電信、制造業(yè)等行業(yè)客戶,提供創(chuàng)新可靠的軟件基礎(chǔ)平臺產(chǎn)品及相應(yīng)技術(shù)服務(wù)。普元信息技術(shù)股份有限公司微服務(wù)平臺存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23838
3、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在任意文件下載漏洞(CNVD-2024-23621)
浙江大華技術(shù)股份有限公司,是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23621
4、西安瑞友信息技術(shù)資訊有限公司瑞友天翼應(yīng)用虛擬化系統(tǒng)存在SQL注入漏洞(CNVD-2024-23827)
瑞友天翼應(yīng)用虛擬化系統(tǒng)是國內(nèi)具有自主知識產(chǎn)權(quán)的應(yīng)用虛擬化平臺,是基于服務(wù)器計(jì)算(Server-based Computing)的應(yīng)用虛擬化平臺。西安瑞友信息技術(shù)資訊有限公司瑞友天翼應(yīng)用虛擬化系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23827
5、Tenda F1203 setSchedWifi方法緩沖區(qū)溢出漏洞
Tenda F1203是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda F1203 2.0.1.6版本存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/openSchedWifi文件的setSchedWifi方法的schedStartTime/schedEndTime參數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26333
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺