您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240415-20240421)
一、境外廠商產(chǎn)品漏洞
1、Apache Zeppelin輸入驗證錯誤漏洞(CNVD-2024-17934)
Apache Zeppelin是美國阿帕奇(Apache)基金會的一款基于Web的開源筆記本應(yīng)用程序。該程序支持交互式數(shù)據(jù)分析和協(xié)作文檔。Apache Zeppelin存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞查看服務(wù)器帳戶,訪問文件系統(tǒng)中任何文件的內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17934
2、Adobe Experience Manager信息泄露漏洞(CNVD-2024-17889)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17889
3、Apple iOS和Apple iPadOS緩沖區(qū)溢出漏洞
Apple iOS和Apple iPadOS都是美國蘋果(Apple)公司的產(chǎn)品。Apple iOS是一套為移動設(shè)備所開發(fā)的操作系統(tǒng)。Apple iPadOS是一套用于iPad平板電腦的操作系統(tǒng)。Apple iOS和 iPadOS存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞升級系統(tǒng)上的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17860
4、Microsoft Edge (Chromium-based)欺騙漏洞(CNVD-2024-17969)
Microsoft Edge是美國微軟(Microsoft)公司的一款Windows 10之后版本系統(tǒng)附帶的Web瀏覽器。Microsoft Edge (Chromium-based)存在欺騙漏洞,攻擊者可利用該漏洞進行欺騙攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17969
5、Rockwell Automation PowerFlex 527輸入驗證錯誤漏洞
Rockwell Automation PowerFlex 525是美國羅克韋爾(Rockwell Automation)公司的一款可調(diào)交流變頻器。Rockwell Automation PowerFlex 527存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞導致CIP通信中斷,需要手動重新啟動。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18335
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-UAC 6000-E50C存在命令執(zhí)行漏洞
銳捷網(wǎng)絡(luò),成立于2003年,是行業(yè)領(lǐng)先的網(wǎng)絡(luò)基礎(chǔ)設(shè)施及解決方案提供商。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-UAC 6000-E50C存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17416
2、Tenda W30E fromRouteStatic函數(shù)緩沖區(qū)溢出漏洞
Tenda W30E是中國騰達(Tenda)公司的一款路由器。Tenda W30E 1.0.1.25(633)版本存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/fromRouteStatic的fromRouteStatic函數(shù)的參數(shù)page未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18608
3、浙江大華技術(shù)股份有限公司大華EIMS系統(tǒng)存在命令執(zhí)行漏洞
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運營服務(wù)商。浙江大華技術(shù)股份有限公司大華EIMS系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17054
4、億賽通電子文檔安全管理系統(tǒng)存在反序列化漏洞(CNVD-2024-17662)
北京億賽通科技發(fā)展有限責任公司是國內(nèi)外領(lǐng)先的數(shù)據(jù)安全業(yè)務(wù)和網(wǎng)絡(luò)安全業(yè)務(wù)供應(yīng)商。億賽通電子文檔安全管理系統(tǒng)存在反序列化漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-17662
5、Tenda W30E formSetCfm函數(shù)棧緩沖區(qū)溢出漏洞
Tenda W30E是一款由Tenda公司開發(fā)的無線路由器,主要用于為家庭和小型辦公室提供穩(wěn)定的網(wǎng)絡(luò)連接。Tenda W30E 1.0.1.25(633)版本中的/goform/setcfm文件的formSetCfm函數(shù)存在棧緩沖區(qū)溢出漏洞。攻擊者可以利用該漏洞通過遠程操縱funcpara1參數(shù)導致棧溢出。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18610
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺