您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20240304-20240310)
一、境外廠商產品漏洞
1、IBM Security Guardium操作系統命令注入漏洞(CNVD-2024-11735)
IBM Security Guardium是美國國際商業(yè)機器(IBM)公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Security Guardium Key Lifecycle Manager存在操作系統命令注入漏洞,經過身份驗證的遠程攻擊者可利用該漏洞通過發(fā)送特制請求來在系統上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11735
2、Microsoft Win32K權限提升漏洞(CNVD-2024-11164)
Microsoft Win32k是美國微軟(Microsoft)公司的一個用于Windows多用戶管理的系統文件。Microsoft Win32K存在權限提升漏洞,攻擊者可利用該漏洞在系統上獲得提升的權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11164
3、Microsoft Visual Studio權限提升漏洞(CNVD-2024-11163)
Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產品,也是一個基本完整的開發(fā)工具集,它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在權限提升漏洞,攻擊者可利用此漏洞獲取SYSTEM權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11163
4、Adobe Substance 3D Painter緩沖區(qū)溢出漏洞(CNVD-2024-11673)
Adobe Substance 3D Painter是美國奧多比(Adobe)公司的一個3D紋理處理應用程序。Adobe Substance 3D Painter 9.1.1及之前版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在系統上執(zhí)行任意代碼,導致應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11673
5、Microsoft Hyper-V拒絕服務漏洞(CNVD-2024-11161)
Microsoft Hyper-V是美國微軟(Microsoft)公司的一個應用程序。一種系統管理程序虛擬化技術,能夠實現桌面虛擬化。Microsoft Hyper-V存在拒絕服務漏洞。攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-11161
二、境內廠商產品漏洞
1、D-Link GO-RT-AC750跨站腳本漏洞
D-Link GO-RT-AC750是中國友訊(D-Link)公司的一款無線雙頻簡易路由器。D-Link GO-RT-AC750存在跨站腳本漏洞,該漏洞源于dlapn.cgi、dldongle.cgi等組件中對用戶提供的數據缺乏有效過濾與轉義,攻擊者可利用該漏洞通過注入精心設計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12209
2、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統存在信息泄漏漏洞(CNVD-2024-10034)
電子文檔安全管理系統是一款可控授權的電子文檔安全共享管理系統,采用實時動態(tài)加解密保護技術和實時權限回收機制,提供對各類電子文檔內容級的安全保護。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統存在信息泄漏漏洞,攻擊者可利用該漏洞獲取用戶密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10034
3、Huawei HarmonyOS和EMUI信息泄露漏洞(CNVD-2024-12232)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Huawei EMUI是華為公司開發(fā)的一種基于Android操作系統的用戶界面。Huawei HarmonyOS和EMUI存在信息泄露漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12232
4、英萬齊軟件技術(北京)有限公司Ivanti Connect Secure存在命令執(zhí)行漏洞
Ivanti Connect Secure是一款為遠程和移動用戶提供了一個無縫的、具有成本效益的SSL VPN解決方案。英萬齊軟件技術(北京)有限公司Ivanti Connect Secure存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10044
5、浙江大華技術股份有限公司DSS存在任意文件下載漏洞(CNVD-2024-10023)
浙江大華技術股份有限公司是監(jiān)控產品供應商和解決方案服務商。浙江大華技術股份有限公司DSS存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-10023
說明:關注度分析由CNVD根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺