您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20240205-20240218)
一、境外廠商產品漏洞
1、IBM Tivoli Application Dependency Discovery Manager HTTP頭部注入漏洞
IBM Tivoli Application Dependency Discovery Manager(TADDM)是美國國際商業(yè)機器(IBM)公司的一套IT服務管理解決方案中的產品。該產品提供了健全的自動化應用程序映射和發(fā)現(xiàn),幫助管理員了解業(yè)務應用程序的結構、狀態(tài)、配置和變更歷史記錄。IBM Tivoli Application Dependency Discovery Manager 7.3.0.0版本到7.3.0.10版本存在HTTP頭部注入漏洞,該漏洞源于HOST標頭未對輸入進行正確驗證,攻擊者可利用該漏洞對易受攻擊的系統(tǒng)進行各種攻擊,包括跨站點腳本、緩存中毒或會話劫持。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07606
2、IBM Security Access Manager未授權訪問漏洞
IBM Security Access Manager是美國國際商業(yè)機器(IBM)公司的一款應用于信息安全管理的產品。該產品通過面向Web、移動和云計算的集成設備來實現(xiàn)訪問管理控制。IBM Security Access Manager存在未授權訪問漏洞,攻擊者可利用該漏洞使用空密碼登錄到服務器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07609
3、IBM Cloud Pak System信息泄露漏洞(CNVD-2024-07607)
IBM Cloud Pak System是美國國際商業(yè)機器(IBM)公司的一套具有可配置、預集成軟件的全棧、融合基礎架構。該產品支持跨混合云部署、管理和移動應用程序環(huán)境。IBM Cloud Pak System 2.3.1.1、2.3.2.0和2.3.3.7版本存在信息泄露漏洞,攻擊者可利用該漏洞暴力破解帳戶憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07607
4、IBM Security Verify Access拒絕服務漏洞
IBM Security Verify Access(ISAM)是美國國際商業(yè)機器(IBM)公司的一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯(lián)合以及移動多因子認證實現(xiàn)對Web、移動、IoT 和云技術等平臺安全簡單的訪問。IBM Security Verify Access存在拒絕服務,攻擊者可利用該漏洞受到DSC服務器上的拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07612
5、IBM Security Verify Access權限提升漏洞
IBM Security Verify Access(ISAM)是美國國際商業(yè)機器(IBM)公司的一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯(lián)合以及移動多因子認證實現(xiàn)對Web、移動、IoT和云技術等平臺安全簡單的訪問。IBM Security Verify Access存在權限提升漏洞,該漏洞源于安全配置錯誤,攻擊者可利用該漏洞提升權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07613
二、境內廠商產品漏洞
1、北京神州綠盟科技有限公司綠盟WAF存在命令執(zhí)行漏洞(CNVD-2024-07088)
北京神州綠盟科技有限公司是一家以從事科技推廣和應用服務業(yè)為主的企業(yè)。北京神州綠盟科技有限公司綠盟WAF存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07088
2、四創(chuàng)科技有限公司河長制綜合管理系統(tǒng)存在邏輯缺陷漏洞
四創(chuàng)科技有限公司是中國減災興利信息服務提供商。四創(chuàng)科技有限公司河長制綜合管理系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞繞過系統(tǒng)認證進行登錄。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07413
3、北京海量數(shù)據(jù)技術股份有限公司vastbase存在邏輯缺陷漏洞
vastbase是一種海量數(shù)據(jù)庫。北京海量數(shù)據(jù)技術股份有限公司vastbase存在邏輯缺陷漏洞,攻擊者可利用該漏洞通過構造特殊的SQL語句,繞過所有動態(tài)脫敏策略,從而查看脫敏前的原始數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07403
4、杭州合眾數(shù)據(jù)技術有限公司合眾視頻安全交換接入系統(tǒng)存在命令執(zhí)行漏洞
杭州合眾數(shù)據(jù)技術有限公司(簡稱“合眾數(shù)據(jù)”),成立于2003年,是一家專門從事數(shù)據(jù)安全與大數(shù)據(jù)領域研發(fā)、生產和銷售的高科技公司。杭州合眾數(shù)據(jù)技術有限公司合眾視頻安全交換接入系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07383
5、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在任意文件下載漏洞(CNVD-2024-05347)
電子文檔安全管理系統(tǒng)是一款可控授權的電子文檔安全共享管理系統(tǒng),采用實時動態(tài)加解密保護技術和實時權限回收機制,提供對各類電子文檔內容級的安全保護。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-05347
說明:關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
原文來源:CNVD漏洞平臺