您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20240527-20240602)
一、境外廠商產品漏洞
1、Fortinet FortiOS資源管理錯誤漏洞
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專用于FortiGate網絡安全平臺上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內容過濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在資源管理錯誤漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請求,在系統(tǒng)上執(zhí)行任意命令或代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24407
2、Siemens SIMATIC RTLS Locating Manager關鍵資源權限分配不正確漏洞
SIMATIC RTLS Locating Manager用于配置、操作和維護SIMATIC RTLS裝置,該裝置是一個實時無線定位系統(tǒng),可提供定位解決方案。Siemens SIMATIC RTLS Locating Manager存在關鍵資源權限分配不正確漏洞,該漏洞是由于受影響的應用程序為用戶管理組件分配了不正確的權限。攻擊者可利用該漏洞將其權限從Administrators組提升到Systemadministrator組。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24520
3、Siemens Polarion ALM訪問控制不當漏洞
Polarion ALM是一種應用程序生命周期管理解決方案,它通過針對需求、編碼、測試和發(fā)布的單一統(tǒng)一解決方案來改進軟件開發(fā)過程。Siemens Polarion ALM存在訪問控制不當漏洞,該漏洞是由于受影響的應用程序中基于ApacheLucene的查詢引擎缺乏適當?shù)脑L問控制。攻擊者可利用該漏洞查詢超出用戶允許的項目的項。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24523
4、Google Android權限提升漏洞(CNVD-2024-24424)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在權限提升漏洞,該漏洞是由多個位置的越界寫入引起的。攻擊者可利用此漏洞升級權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24424
5、Adobe Commerce跨站請求偽造漏洞
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領先的數(shù)字商務解決方案。Adobe Commerce存在跨站請求偽造漏洞,該漏洞源于存在跨站請求偽造(CSRF)漏洞的影響,該漏洞可能導致安全功能繞過。目前沒有詳細的漏洞細節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24299
二、境內廠商產品漏洞
1、D-Link Dir-3040us拒絕服務漏洞
D-Link Dir-3040us是一款路由器。D-Link Dir-3040us存在拒絕服務漏洞,攻擊者可利用該漏洞導致系統(tǒng)崩潰并重新啟動。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24535
2、深圳市吉祥騰達科技有限公司W15E formSetPortMapping方法緩沖區(qū)溢出漏洞
深圳市吉祥騰達科技有限公司W15E是中國騰達(Tenda)公司的一款無線路由器。深圳市吉祥騰達科技有限公司W15E 15.11.0.14版本存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/SetPortMapping文件的formSetPortMapping方法的portMappingServer/portMappingProtocol/portMappingWan/porMappingtInternal/portMappingExternal參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24954
3、深圳市吉祥騰達科技有限公司W15E formSetDebugCfg方法緩沖區(qū)溢出漏洞
深圳市吉祥騰達科技有限公司W15E是中國騰達(Tenda)公司的一款無線路由器。深圳市吉祥騰達科技有限公司W15E 15.11.0.14版本存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/setDebugCfg文件的formSetDebugCfg方法的enable/level/module參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24953
4、Tenda F1202 fromqossetting函數(shù)棧緩沖區(qū)溢出漏洞
Tenda F1202是中國騰達(Tenda)公司的一款采用第五代技術的雙頻 Wi-Fi 路由器。Tenda F1202 fromqossetting函數(shù)存在棧緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24534
5、Tenda F1202 fromVirtualSer函數(shù)棧緩沖區(qū)溢出漏洞
Tenda F1202是中國騰達(Tenda)公司的一款采用第五代技術的雙頻 Wi-Fi 路由器。Tenda F1202 fromVirtualSer函數(shù)存在棧緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24532
說明:關注度分析由CNVD根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺