(20240812-20240818)

一、境外廠商產(chǎn)品漏洞

1、DerbyNet racerid參數(shù)跨站腳本漏洞

DerbyNet是一個簡易的比賽轉(zhuǎn)播項目代碼。DerbyNet racerid參數(shù)存在跨站腳本漏洞，該漏洞是由于photo-thumbs.php腳本對用戶提供的輸入驗證不當(dāng)造成的。攻擊者可利用此漏洞竊取受害者基于cookie的身份驗證憑據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35606

2、施耐德電氣(中國)有限公司施耐德PLC仿真器存在拒絕服務(wù)漏洞

施耐德電氣(中國)有限公司是全球化電氣企業(yè)，全球能效管理和自動化領(lǐng)域的專家。施耐德電氣(中國)有限公司施耐德PLC仿真器存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞導(dǎo)致程序崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35253

3、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-35258)

Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在代碼執(zhí)行漏洞，該漏洞是由V8中的類型混淆引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35258

4、Apache Superset SQL注入漏洞(CNVD-2024-35190)

Apache Superset是美國阿帕奇(Apache)基金會的一個數(shù)據(jù)可視化和數(shù)據(jù)探索平臺。Apache Superset存在SQL注入漏洞，攻擊者可利用該漏洞查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35190

5、DerbyNet order參數(shù)跨站腳本漏洞

DerbyNet是一個簡易的比賽轉(zhuǎn)播項目代碼。DerbyNet order參數(shù)存在跨站腳本漏洞，該漏洞是由于checkin.php腳本對用戶提供的輸入驗證不當(dāng)造成的。攻擊者可利用此漏洞竊取受害者基于cookie的身份驗證憑據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35605

二、境內(nèi)廠商產(chǎn)品漏洞

1、東莞市通天星軟件科技有限公司主動安全監(jiān)控云平臺存在SQL注入漏洞(CNVD-2024-33117)

東莞市通天星軟件科技有限公司是一家視頻安防服務(wù)商。東莞市通天星軟件科技有限公司主動安全監(jiān)控云平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息，寫入文件執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-33117

2、北京亞控科技發(fā)展有限公司KingPortal運行系統(tǒng)客戶端存在任意文件下載漏洞

KingPortal運行系統(tǒng)客戶端是一款純B/S架構(gòu)面向工業(yè)監(jiān)控領(lǐng)域的web端組態(tài)產(chǎn)品。北京亞控科技發(fā)展有限公司KingPortal運行系統(tǒng)客戶端存在任意文件下載漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-33107

3、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司NBR6120-E路由器控制引擎存在命令執(zhí)行漏洞

銳捷網(wǎng)絡(luò)，成立于2003年，是行業(yè)領(lǐng)先的ICT基礎(chǔ)設(shè)施及解決方案提供商。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司NBR6120-E路由器控制引擎存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-33127

4、Tenda i22 formApPortalPhoneAuth棧溢出漏洞

Tenda i22是一款騰達(dá)(Tenda)的雙頻吸頂無線接入點。Tenda i22 /goform/apPortalPhoneAuth處理formApPortalPhoneAuth存在棧溢出漏洞，遠(yuǎn)程攻擊者可以利用該漏洞提交特殊的請求，可使應(yīng)用程序崩潰或可以應(yīng)用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35556

5、Tenda i22 formApPortalWebAuth棧溢出漏洞

Tenda i22是一款騰達(dá)(Tenda)的雙頻吸頂無線接入點。Tenda i22 /goform/apPortalAuth處理formApPortalWebAuth存在棧溢出漏洞，遠(yuǎn)程攻擊者可以利用該漏洞提交特殊的請求，可使應(yīng)用程序崩潰或可以應(yīng)用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-35555

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺