您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240610-20240616)
一、境外廠商產(chǎn)品漏洞
1、Siemens TIM 1531 IRC無(wú)限循環(huán)漏洞
TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在無(wú)限循環(huán)漏洞,經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞通過(guò)導(dǎo)入特制的PKCS12容器來(lái)創(chuàng)建拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26693
2、Apache Airflow信息泄露漏洞(CNVD-2024-26530)
Apache Airflow是美國(guó)阿帕奇(Apache)基金會(huì)的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺(tái)。該平臺(tái)具有可擴(kuò)展和動(dòng)態(tài)監(jiān)控等特點(diǎn)。Apache Airflow 2.8.2之前版本存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26530
3、Siemens S7-200 SMART series使用不安全的隨機(jī)值漏洞
S7-200 SMART series是一系列微型可編程邏輯控制器,可以控制各種小型自動(dòng)化應(yīng)用。Siemens S7-200 SMART series存在使用不安全的隨機(jī)值漏洞,攻擊者可利用該漏洞創(chuàng)建拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26691
4、WordPress Discussion Board plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會(huì)的產(chǎn)品。WordPress是一套使用PHP語(yǔ)言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是一個(gè)應(yīng)用插件。WordPress plugin Discussion Board 2.4.8版本及之前版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26513
5、Siemens TIM 1531 IRC數(shù)字類型錯(cuò)誤轉(zhuǎn)換漏洞
TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在數(shù)字類型錯(cuò)誤轉(zhuǎn)換漏洞,攻擊者可利用該漏洞在受影響的設(shè)備上造成拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26692
二、境內(nèi)廠商產(chǎn)品漏洞
1、小米科技有限責(zé)任公司小米路由器AX9000存在二進(jìn)制漏洞
小米路由器AX9000是小米公司于2021年3月29日發(fā)布的第三代Wi-Fi6旗艦產(chǎn)品—,支持WiFi6增強(qiáng)版,最大理論速率可達(dá)3.5Gbps。小米科技有限責(zé)任公司小米路由器AX9000存在二進(jìn)制漏洞,攻擊者可利用漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23093
2、廈門快普信息技術(shù)有限公司快普M6整合管理平臺(tái)系統(tǒng)存在SQL注入漏洞(CNVD-2024-27112)
廈門快普信息技術(shù)有限公司是一家致力于信息化整合管理系統(tǒng)研發(fā)的創(chuàng)新型高科技企業(yè)。廈門快普信息技術(shù)有限公司快普M6整合管理平臺(tái)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息,執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27112
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞(CNVD-C-2024-271249)
億賽通文檔安全管理系統(tǒng)是國(guó)內(nèi)最早基于文件過(guò)濾驅(qū)動(dòng)技術(shù)的文檔加解密產(chǎn)品,保護(hù)范圍涵蓋終端電腦(Windows、Mac、Linux系統(tǒng)平臺(tái))、智能終端(Android、IOS)及各類應(yīng)用系統(tǒng)(OA、知識(shí)管理、文檔管理、項(xiàng)目管理、PDM等)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23002
4、用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞
用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺(tái)。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞,攻擊者可利用漏洞執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23099
5、廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞(CNVD-2024-25622)
廈門天銳科技股份有限公司是數(shù)據(jù)安全產(chǎn)品與服務(wù)提供商。廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25622
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)