您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240311-20240317)
一、境外廠商產(chǎn)品漏洞
1、SAP NetWeaver AS跨站腳本漏洞(CNVD-2024-13534)
SAP NetWeaver AS是德國思愛普(SAP)公司的一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器。它不僅能提供網(wǎng)絡(luò)服務(wù),且還是SAP軟件的基本平臺。SAP NetWeaver AS ABAP存在跨站腳本漏洞,該漏洞源于基于SAP GUI for HTML的應(yīng)用程序未充分編碼用戶控制的輸入,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13534
2、多款Fortinet產(chǎn)品格式化字符串錯誤漏洞
Fortinet FortiOS是一套專用于FortiGate網(wǎng)絡(luò)安全平臺上的安全操作系統(tǒng)。Fortinet FortiProxy是一種安全的網(wǎng)絡(luò)代理,通過結(jié)合多種檢測技術(shù),如Web過濾、DNS過濾、DLP、反病毒、入侵防御和高級威脅保護,可以保護員工免受網(wǎng)絡(luò)攻擊。Fortinet FortiPAM是美國飛塔(Fortinet)公司的一款權(quán)限訪問控制的平臺。多款Fortinet產(chǎn)品存在格式化字符串錯誤漏洞,攻擊者可利用該漏洞通過特制的請求執(zhí)行任意代碼或命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13010
3、MongoDB Server信任管理問題漏洞(CNVD-2024-13539)
MongoDB Server是美國MongoDB公司的一套開源的NoSQL數(shù)據(jù)庫。該數(shù)據(jù)庫提供面向集合的存儲、動態(tài)查詢、數(shù)據(jù)復(fù)制及自動故障轉(zhuǎn)移等功能。MongoDB Server存在信任管理問題漏洞,該漏洞源于未提供CAFile和clusterCAFile時,服務(wù)器會跳過對等證書驗證。攻擊者可利用該漏洞導(dǎo)致中間人攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13539
4、Fortinet FortiOS和FortiProxy空指針解引用漏洞
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網(wǎng)絡(luò)安全平臺上的安全操作系統(tǒng)。Fortinet FortiProxy是一種安全的網(wǎng)絡(luò)代理,通過結(jié)合多種檢測技術(shù),如Web過濾、DNS過濾、DLP、反病毒、入侵防御和高級威脅保護,可以保護員工免受網(wǎng)絡(luò)攻擊。Fortinet FortiOS和FortiProxy存在空指針解引用漏洞,攻擊者可利用該漏洞通過特制的HTTP請求導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13019
5、Adobe Acrobat Reader輸入驗證錯誤漏洞(CNVD-2024-12461)
Adobe Acrobat Reader是美國奧多比(Adobe)公司的一款PDF查看器。該軟件用于打印,簽名和注釋PDF。Adobe Acrobat Reader存在輸入驗證錯誤漏洞。攻擊者可利用該漏洞控制受影響的系統(tǒng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12461
二、境內(nèi)廠商產(chǎn)品漏洞
1、山東威爾數(shù)據(jù)股份有限公司SCM一卡通平臺系統(tǒng)存在未授權(quán)訪問漏洞
山東威爾數(shù)據(jù)股份有限公司是一家集自主軟件開發(fā)、嵌入式開發(fā)、硬件開發(fā)、生產(chǎn)銷售服務(wù)于一體的全產(chǎn)業(yè)鏈企業(yè)。山東威爾數(shù)據(jù)股份有限公司SCM一卡通平臺系統(tǒng)存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37615
2、TP-LINK AX50跨站腳本漏洞
TP-LINK AX50是中國普聯(lián)(TP-LINK)公司的一款路由器設(shè)備。TP-LINK AX50 1.0.11 build 2022052版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過SOAP請求創(chuàng)建端口映射規(guī)則,并在該規(guī)則中存儲惡意JavaScript載荷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13544
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-13551)
北京億賽通科技發(fā)展有限責(zé)任公司是一家經(jīng)營范圍包括技術(shù)服務(wù)、技術(shù)開發(fā)、技術(shù)咨詢、技術(shù)交流、技術(shù)轉(zhuǎn)讓、技術(shù)推廣等的公司。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13551
4、金蝶云星空ERP存在反序列化漏洞
金蝶云星空是一款云端企業(yè)資源管理(ERP)軟件,為企業(yè)提供財務(wù)管理、供應(yīng)鏈管理以及業(yè)務(wù)流程管理等一體化解決方案。金蝶云星空ERP存在反序列化漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13011
5、XunRuiCMS跨站腳本漏洞(CNVD-2024-12713)
XunRuiCMS(迅睿CMS)是一套開源的內(nèi)容管理系統(tǒng)(CMS)。XunRuiCMS v4.6.2及之前版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,遠程攻擊者可利用該漏洞通過向發(fā)送特制的惡意請求來獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-12713
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
原文來源:CNVD漏洞平臺