您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240401-20240407)
一、境外廠商產(chǎn)品漏洞
1、Apache Fineract SQL注入漏洞(CNVD-2024-16106)
Apache Fineract是美國(guó)阿帕奇(Apache)基金會(huì)的一套開(kāi)源數(shù)字金融服務(wù)平臺(tái)。該平臺(tái)能夠?yàn)橛脩籼峁?shù)據(jù)管理、貸款和儲(chǔ)蓄投資組合管理以及實(shí)時(shí)財(cái)務(wù)數(shù)據(jù)等功能。Apache Fineract 1.8.5之前版本存在SQL注入漏洞,攻擊者可利用該漏洞使用sqlSearch參數(shù)發(fā)送特制的SQL語(yǔ)句,查看、添加、修改或刪除后端數(shù)據(jù)庫(kù)中的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-16106
2、Dell PowerScale OneFS信息泄露漏洞(CNVD-2024-16220)
Dell PowerScale OneFS是美國(guó)戴爾(Dell)公司的一個(gè)操作系統(tǒng)。提供橫向擴(kuò)展NAS的PowerScale OneFS操作系統(tǒng)。Dell PowerScale OneFS存在信息泄露漏洞,該漏洞源于包含使用損壞或有風(fēng)險(xiǎn)的加密算法。攻擊者可利用該漏洞危及敏感信息的機(jī)密性和完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-16220
3、Apache InLong代碼問(wèn)題漏洞(CNVD-2024-16113)
Apache InLong是美國(guó)阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.8.0版本到1.10.0版本存在代碼問(wèn)題漏洞,攻擊者可利用該漏洞通過(guò)發(fā)送特制的有效負(fù)載,讀取系統(tǒng)上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-16113
4、IBM Cognos Analytics表單跨站請(qǐng)求偽造漏洞
IBM Cognos Analytics是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套商業(yè)智能軟件。IBM Cognos Analytics表單處理存在跨站請(qǐng)求偽造漏洞,遠(yuǎn)程攻擊者可以利用該漏洞構(gòu)建惡意URI,誘使請(qǐng)求,可以目標(biāo)用戶上下文執(zhí)行惡意操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-15733
5、Apache Fineract權(quán)限提升漏洞
Apache Fineract是美國(guó)阿帕奇(Apache)基金會(huì)的一套開(kāi)源數(shù)字金融服務(wù)平臺(tái)。該平臺(tái)能夠?yàn)橛脩籼峁?shù)據(jù)管理、貸款和儲(chǔ)蓄投資組合管理以及實(shí)時(shí)財(cái)務(wù)數(shù)據(jù)等功能。Apache Fineract存在權(quán)限提升漏洞,攻擊者可利用該漏洞獲取任何角色的提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-16108
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2024-14992)
北京億賽通科技發(fā)展有限責(zé)任公司是國(guó)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14992
2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在未授權(quán)訪問(wèn)漏洞(CNVD-2024-14380)
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在未授權(quán)訪問(wèn)漏洞,攻擊者可利用該漏洞未授權(quán)添加用戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14380
3、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在信息泄露漏洞(CNVD-2024-14798)
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14798
4、北京亞控科技發(fā)展有限公司組態(tài)王(KingView)存在拒絕服務(wù)漏洞
組態(tài)王(KingView)是北京亞控科技發(fā)展有限公司生產(chǎn)的一款工業(yè)自動(dòng)化組態(tài)軟件。北京亞控科技發(fā)展有限公司組態(tài)王(KingView)存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致軟件崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14200
5、Tenda AC10操作系統(tǒng)命令注入漏洞(CNVD-2024-15743)
Tenda AC10是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC10U 15.03.06.49版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于/goform/WriteFacMac文件的formWriteFacMac函數(shù)的mac參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-15743
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)