您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240429-20240512)
一、境外廠(chǎng)商產(chǎn)品漏洞
1、F5 BIG-IP Next Central Manager中間人攻擊漏洞(CNVD-2024-22213)
F5 BIG-IP是美國(guó)F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)。F5 BIG-IP Next Central Manager存在中間人攻擊漏洞,攻擊者可利用該漏洞模擬實(shí)例提供程序系統(tǒng),越過(guò)安全邊界。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22213
2、F5 BIG-IP Next Central Manager中間人攻擊漏洞
F5 BIG-IP是美國(guó)F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)。F5 BIG-IP Next Central Manager存在中間人攻擊漏洞,攻擊者可利用該漏洞獲取獲取BIG-IP Next LTM/WAF實(shí)例憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22211
3、Microsoft Windows Kernel信息泄露漏洞(CNVD-2024-21149)
Microsoft Windows Kernel是美國(guó)微軟(Microsoft)公司的Windows操作系統(tǒng)的內(nèi)核。Microsoft Windows Kernel存在信息泄露漏洞,攻擊者可利用此漏洞從堆內(nèi)存中獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21149
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-21159)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷(xiāo)銷(xiāo)售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用此漏洞能夠說(shuō)服受害者訪(fǎng)問(wèn)引用易受攻擊頁(yè)面的URL,則惡意JavaScript內(nèi)容可能會(huì)在受害者的瀏覽器上下文中執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21159
5、Google Android權(quán)限提升漏洞(CNVD-2024-21191)
Google Android是美國(guó)谷歌(Google)公司的一套以L(fǎng)inux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞是由MediaCodec.cpp的幾個(gè)功能中的權(quán)限繞過(guò)引起的。攻擊者可利用此漏洞獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21191
二、境內(nèi)廠(chǎng)商產(chǎn)品漏洞
1、統(tǒng)信軟件技術(shù)有限公司統(tǒng)信操作系統(tǒng)存在拒絕服務(wù)漏洞
統(tǒng)信軟件技術(shù)有限公司是由國(guó)內(nèi)領(lǐng)先的操作系統(tǒng)廠(chǎng)家。統(tǒng)信軟件技術(shù)有限公司統(tǒng)信操作系統(tǒng)存在拒絕服務(wù)漏洞,攻擊者可利用漏洞提權(quán)并重啟系統(tǒng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18699
2、杭州??低晹?shù)字技術(shù)股份有限公司??低暰C合安防管理平臺(tái)存在命令執(zhí)行漏洞
杭州??低晹?shù)字技術(shù)股份有限公司是一家專(zhuān)注技術(shù)創(chuàng)新的科技公司。杭州??低晹?shù)字技術(shù)股份有限公司海康威視綜合安防管理平臺(tái)存在命令執(zhí)行漏洞,攻擊者可利用漏洞執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18673
3、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)啟智大數(shù)據(jù)可視化系統(tǒng)存在SQL注入漏洞
武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司成立于2000年,是國(guó)內(nèi)領(lǐng)先的數(shù)據(jù)庫(kù)產(chǎn)品開(kāi)發(fā)服務(wù)商。武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)啟智大數(shù)據(jù)可視化系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-20850
4、用友NC存在命令執(zhí)行漏洞
用友網(wǎng)絡(luò)科技股份有限公司是一家經(jīng)營(yíng)范圍包括電子計(jì)算機(jī)軟件、硬件及外部設(shè)備的技術(shù)開(kāi)發(fā)、技術(shù)咨詢(xún)、技術(shù)轉(zhuǎn)讓等的公司。用友NC存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21312
5、商派軟件有限公司ECShop商城系統(tǒng)存在邏輯缺陷漏洞
ECShop商城系統(tǒng)是一款開(kāi)源商城系統(tǒng)。商派軟件有限公司ECShop商城系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞重置用戶(hù)密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21873
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)