您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240129-20240204)
一、境外廠商產(chǎn)品漏洞
1、Google Chrome數(shù)字錯(cuò)誤漏洞(CNVD-2024-06231)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome 120.0.6099.216之前版本存在數(shù)字錯(cuò)誤漏洞,該漏洞源于數(shù)據(jù)驗(yàn)證不足。攻擊者可利用該漏洞通過(guò)特制的HTML頁(yè)面安裝惡意擴(kuò)展程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06231
2、Glibc存在堆溢出漏洞
glibc是GNU發(fā)布的libc庫(kù),即c運(yùn)行庫(kù)。Glibc存在堆溢出漏洞,擁有低權(quán)限的本地攻擊者可以利用該漏洞提升至root權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06857
3、Google Android權(quán)限提升漏洞(CNVD-2024-07115)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用此漏洞在系統(tǒng)上獲取提升的特權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07115
4、Apache Superset跨站腳本漏洞(CNVD-2024-06442)
Apache Superset是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)數(shù)據(jù)可視化和數(shù)據(jù)探索平臺(tái)。Apache Superset 3.0.3之前版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對(duì)用戶(hù)提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義,經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用該漏洞將惡意腳本注入Web頁(yè)面。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06442
5、WebCalendar跨站腳本漏洞
WebCalendar是一個(gè)PHP應(yīng)用程序,用于為單個(gè)用戶(hù)或Intranet用戶(hù)組維護(hù)日歷。它還可以配置為事件日歷。WebCalendar v1.3.0版本存在跨站腳本漏洞,該漏洞源于/WebCalendarvqsmnseug2/edit_entry.php組件對(duì)用戶(hù)提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06441
二、境內(nèi)廠商產(chǎn)品漏洞
1、ZZCMS文件上傳漏洞(CNVD-2024-06241)
ZZCMS是中國(guó)ZZCMS團(tuán)隊(duì)的一套內(nèi)容管理系統(tǒng)(CMS)。ZZCMS 2023版本存在文件上傳漏洞,該漏洞源于/E_bak5.1/upload/index.php對(duì)上傳的文件缺少有效的驗(yàn)證。攻擊者可利用該漏洞獲取服務(wù)器權(quán)限并執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06241
2、TOTOLINK A3300R setDdnsCfg方法命令注入漏洞
TOTOLINK A3300R是中國(guó)吉翁電子(TOTOLINK)公司的一款無(wú)線路由器。TOTOLINK A3300R V17.0.0cu.557_B20221024版本存在命令注入漏洞,該漏洞源于setDdnsCfg方法的username參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06218
3、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)啟智?數(shù)據(jù)可視化系統(tǒng)(DMQZDV體驗(yàn)版)存在任意文件讀取漏洞
達(dá)夢(mèng)啟智大數(shù)據(jù)可視化系統(tǒng)是面向大數(shù)據(jù)展示的一站式工具平臺(tái)。武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)啟智?數(shù)據(jù)可視化系統(tǒng)(DMQZDV體驗(yàn)版)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-03150
4、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2024-06018)
北京億賽通科技發(fā)展有限責(zé)任公司是一家經(jīng)營(yíng)范圍包括一般項(xiàng)目:技術(shù)服務(wù)、技術(shù)開(kāi)發(fā)、技術(shù)咨詢(xún)、技術(shù)交流、技術(shù)轉(zhuǎn)讓等的公司。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06018
5、Tenda AX1803 getIptvInfo方法的adv.iptv.stbpvid參數(shù)緩沖區(qū)溢出漏洞
Tenda AX1803是中國(guó)騰達(dá)(Tenda)公司的一款雙頻千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在緩沖區(qū)溢出漏洞,該漏洞源于getIptvInfo方法的adv.iptv.stbpvid參數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06234
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)