(20241230-20250105)

一、境外廠商產(chǎn)品漏洞

1、SAP NetWeaver Enterprise Portal跨站腳本漏洞(CNVD-2024-49627)

SAP Commerce Cloud的Backoffice是一個用戶中心的、可擴展的后端界面，它允許業(yè)務用戶輕松管理SAP Commerce Cloud中的任何類型的數(shù)據(jù)。SAP NetWeaver Enterprise Portal存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當惡意數(shù)據(jù)被查看時，可獲取敏感信息或劫持用戶會話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627

2、Fortinet FortiOS訪問控制錯誤漏洞(CNVD-2024-49648)

Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網(wǎng)絡安全平臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內(nèi)容過濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在訪問控制錯誤漏洞，該漏洞源于包含一個會話固定問題。攻擊者可利用該漏洞通過網(wǎng)絡釣魚SAML身份驗證鏈接執(zhí)行未經(jīng)授權的代碼或命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49648

3、Dell OpenManage Server Administrator授權問題漏洞

Dell OpenManage Server Administrator(Dell OMSA)是美國戴爾(Dell)公司的一種軟件代理。以兩種方式提供全面的一對一系統(tǒng)管理解決方案。Dell OpenManage Server Administrator 11.0.1.0及之前版本存在授權問題漏洞，該漏洞源于包含不正確的權限改造，攻擊者可利用該漏洞導致未經(jīng)授權的權限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49621

4、Adobe Substance 3D Painter越界寫入漏洞(CNVD-2025-00206)

Adobe Substance 3D Painter是美國奧多比(Adobe)公司的一個3D紋理處理應用程序。Adobe Substance 3D Painter存在越界寫入漏洞，攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00206

5、SAP Commerce Backoffice跨站腳本漏洞

SAP Commerce Backoffice是一個用于管理和維護電子商務網(wǎng)站的強大工具，允許管理員和運營團隊輕松地管理網(wǎng)站內(nèi)容和配置。SAP Commerce Backoffice存在跨站腳本漏洞，遠程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當惡意數(shù)據(jù)被查看時，可獲取敏感信息或劫持用戶會話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49628

二、境內(nèi)廠商產(chǎn)品漏洞

1、用友網(wǎng)絡科技股份有限公司YonBIP存在信息泄露漏洞

YonBIP是用友集團傾力打造的數(shù)智化商業(yè)創(chuàng)新平臺，旨在幫助企業(yè)實現(xiàn)數(shù)智化轉型和商業(yè)創(chuàng)新。?用友網(wǎng)絡科技股份有限公司YonBIP存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49050

2、青島東勝偉業(yè)軟件有限公司東勝物流軟件存在信息泄露漏洞(CNVD-2024-49052)

東勝物流軟件是青島東勝偉業(yè)軟件有限公司一款集訂單管理、倉庫管理、運輸管理等多種功能于一體的物流管理軟件。青島東勝偉業(yè)軟件有限公司東勝物流軟件存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49052

3、武漢達夢數(shù)據(jù)庫股份有限公司達夢新云緩存數(shù)據(jù)庫存在二進制漏洞

?達夢新云緩存數(shù)據(jù)庫(DMCDM)是一款深度兼容原生Redis協(xié)議的Key-Value數(shù)據(jù)庫。武漢達夢數(shù)據(jù)庫股份有限公司達夢新云緩存數(shù)據(jù)庫存在二進制漏洞，攻擊者可利用該漏洞導致拒絕服務。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49800

4、廣東保倫電子股份有限公司itC中心管理服務器存在文件上傳漏洞(CNVD-2024-38833)

廣東保倫電子股份有限公司是一家集聲光電視訊系統(tǒng)整體解決方案產(chǎn)品研發(fā)、設計、生產(chǎn)、銷售、服務的高新技術企業(yè)。廣東保倫電子股份有限公司itC中心管理服務器存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務器控制權。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-38833

5、TP-LINK Archer C7訪問控制錯誤漏洞

TP-LINK Archer C7是中國普聯(lián)(TP-LINK)公司的一款無線路由器。TP-LINK Archer C7 v5版本存在訪問控制錯誤漏洞，該漏洞源于組件l_0_0.xml中的錯誤訪問控制，攻擊者可利用該漏洞訪問敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49646

說明：關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源：CDVD漏洞平臺