您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240108-20240114)
一、境外廠商產(chǎn)品漏洞
1、Siemens Solid Edge緩沖區(qū)溢出漏洞(CNVD-2024-01409)
Solid Edge是一個(gè)軟件工具組合,可解決各種產(chǎn)品開發(fā)過程:3D設(shè)計(jì),仿真,制造和設(shè)計(jì)管理。Siemens Solid Edge存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-01409
2、pgAdmin命令執(zhí)行漏洞
pgAdmin是一個(gè)用于開源數(shù)據(jù)庫PostgreSQL的開源管理和開發(fā)平臺。pgAdmin存在命令執(zhí)行漏洞,該漏洞源于無法正確控制在此API上執(zhí)行的服務(wù)器代碼,經(jīng)過身份驗(yàn)證的攻擊者可利用該漏洞在服務(wù)器上運(yùn)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02178
3、Siemens SIMATIC CN 4100輸入驗(yàn)證錯誤漏洞
SIMATIC CN 4100是一個(gè)通信節(jié)點(diǎn),可以連接第三方系統(tǒng)。Siemens SIMATIC CN 4100存在輸入驗(yàn)證錯誤漏洞,攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-01396
4、IBM AIX輸入驗(yàn)證錯誤漏洞(CNVD-2024-01169)
IBM AIX是美國國際商業(yè)機(jī)器(IBM)公司的一款為IBM Power體系架構(gòu)開發(fā)的一種基于開放標(biāo)準(zhǔn)的UNIX操作系統(tǒng)。IBM AIX 7.2和7.3版本存在輸入驗(yàn)證錯誤漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-01169
5、Apache OFBiz服務(wù)器端請求偽造漏洞
Apache OFBiz是美國阿帕奇(Apache)基金會的一套企業(yè)資源計(jì)劃(ERP)系統(tǒng)。該系統(tǒng)提供了一整套基于Java的Web應(yīng)用程序組件和工具。Apache OFBiz存在服務(wù)器端請求偽造漏洞,攻擊者可利用該漏洞通過發(fā)送特制請求進(jìn)行SSRF攻擊,讀取任意文件屬性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-01012
二、境內(nèi)廠商產(chǎn)品漏洞
1、東軟集團(tuán)股份有限公司互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序存在邏輯缺陷漏洞
東軟集團(tuán)是行業(yè)領(lǐng)先的全球化信息技術(shù)、產(chǎn)品和解決方案公司。東軟集團(tuán)股份有限公司互聯(lián)網(wǎng)醫(yī)院應(yīng)用程序存在邏輯缺陷漏洞,攻擊者可利用該漏洞綁定他人信息建卡,導(dǎo)致無法正常就診。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-01196
2、東軟集團(tuán)股份有限公司上網(wǎng)行為管理系統(tǒng)存在命令執(zhí)行漏洞
東軟集團(tuán)是行業(yè)領(lǐng)先的全球化信息技術(shù)、產(chǎn)品和解決方案公司。東軟集團(tuán)股份有限公司上網(wǎng)行為管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-00988
3、深圳市藍(lán)凌軟件股份有限公司藍(lán)凌OA存在信息泄露漏洞
深圳市藍(lán)凌軟件股份有限公司是一家為各類組織提供智能辦公、移動門戶、知識管理、合同管理、數(shù)字運(yùn)營、財(cái)務(wù)共享等一體化解決方案的公司。深圳市藍(lán)凌軟件股份有限公司藍(lán)凌OA存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101566
4、廈門納龍健康科技股份有限公司應(yīng)用基礎(chǔ)服務(wù)管理系統(tǒng)存在弱口令漏洞
廈門納龍健康科技股份有限公司成立于2002年,是一家集醫(yī)療電子儀器設(shè)備研發(fā)、生產(chǎn)、銷售和軟件服務(wù)為一體的高新技術(shù)企業(yè)。廈門納龍健康科技股份有限公司應(yīng)用基礎(chǔ)服務(wù)管理系統(tǒng)存在弱口令漏洞,攻擊者利用該漏洞登錄系統(tǒng)后臺,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101586
5、北京超圖軟件股份有限公司SuperMap iServer存在文件上傳漏洞(CNVD-2023-76221)
SuperMap iServer是基于高性能跨平臺GIS內(nèi)核的云GIS應(yīng)用服務(wù)器。北京超圖軟件股份有限公司SuperMap iServer存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-76221
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺