您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240520-20240526)
一、境外廠商產(chǎn)品漏洞
1、IBM Cognos Controller信息泄露漏洞(CNVD-2024-23286)
IBM Cognos Controller是美國國際商業(yè)機(jī)器(IBM)公司的一套商業(yè)智能與計劃解決方案。該產(chǎn)品具有流程自動化、財務(wù)審計控制、創(chuàng)建和管理財務(wù)報告等功能。IBM Cognos Controller存在信息泄露漏洞,該漏洞源于不會在授權(quán)令牌或會話cookie上設(shè)置安全屬性。攻擊者可利用該漏洞通過向用戶發(fā)送http:// 鏈接或?qū)⒋随溄又踩胗脩粼L問的網(wǎng)站來獲取cookie值。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23286
2、SAP macOS-enterprise-privileges緩沖區(qū)溢出漏洞
SAP macOS-enterprise-privileges是德國思愛普(SAP)公司的一款應(yīng)用軟件,可以提供一種快速、簡單的方法在需要時獲取管理員權(quán)限。SAP macOS-enterprise-privileges 1.5.4之前版本存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞導(dǎo)致系統(tǒng)崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23327
3、Siemens RUGGEDCOM CROSSBOW SQL注入漏洞
Siemens RUGGEDCOM CROSSBOW是德國西門子(Siemens)公司的一個經(jīng)過驗(yàn)證的安全訪問管理解決方案。Siemens RUGGEDCOM CROSSBOW存在SQL注入漏洞,該漏洞是由于受影響的客戶端系統(tǒng)在將輸入數(shù)據(jù)發(fā)送到SQL服務(wù)器之前未能正確地對其進(jìn)行過濾。攻擊者可利用此漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23527
4、IBM AIX權(quán)限提升漏洞(CNVD-2024-23284)
IBM AIX是美國國際商業(yè)機(jī)器(IBM)公司的一款為IBM Power體系架構(gòu)開發(fā)的一種基于開放標(biāo)準(zhǔn)的UNIX操作系統(tǒng)。IBM AIX存在安全漏洞。攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23284
5、Mozilla Firefox安全繞過漏洞(CNVD-2024-23344)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來的電子郵件客戶端軟件。Mozilla Firefox存在安全繞過漏洞,攻擊者可利用該漏洞繞過安全限制。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23344
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EG2000CE存在命令執(zhí)行漏洞(CNVD-2024-22811)
EG2000CE是一款智能路由器。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EG2000CE存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22811
2、H3C ER5100G2系統(tǒng)管理存在命令執(zhí)行漏洞
ER5100G2是新一代企業(yè)級千兆有線路由器。H3C ER5100G2系統(tǒng)管理存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22766
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2024-23166)
北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23166
4、統(tǒng)信軟件技術(shù)有限公司統(tǒng)信桌面操作系統(tǒng)存在任意文件寫入漏洞
統(tǒng)信桌面操作系統(tǒng)是一款國產(chǎn)桌面操作系統(tǒng)。統(tǒng)信軟件技術(shù)有限公司統(tǒng)信桌面操作系統(tǒng)存在任意文件寫入漏洞,攻擊者可利用漏洞修改任意文件,從而進(jìn)行本地提權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23842
5、Tenda AC8 formSetRebootTimer函數(shù)存在棧緩沖區(qū)溢出漏洞
Tenda AC8是一款路由器產(chǎn)品,主要用于家庭和小型辦公室的網(wǎng)絡(luò)連接。Tenda AC8在16.03.34.09版本中的/goform/SetRebootTimer文件的formSetRebootTimer函數(shù)存在棧緩沖區(qū)溢出漏洞。攻擊者可以利用該漏洞遠(yuǎn)程操縱rebootTime參數(shù),執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23310
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺