您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20240715-20240721)
一、境外廠商產品漏洞
1、Microsoft Windows Secure Boot安全功能繞過漏洞(CNVD-2024-32545)
Microsoft Windows Secure Boot是美國微軟(Microsoft)公司的安全啟動。Microsoft Windows Secure Boot存在安全功能繞過漏洞,攻擊者可利用該漏洞繞過安全功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32545
2、Siemens SIMATIC STEP 7 (TIA Portal)反序列化漏洞
SIMATIC PCS neo是一種分布式控制系統(tǒng)(DCS)。SIMATIC STEP 7(TIA Portal)是一款用于配置和編程SIMATIC控制器的工程軟件。Totally Integrated Automation Portal(TIA Portal)是一款PC軟件,可提供西門子數(shù)字化自動化服務的完整范圍,從數(shù)字規(guī)劃、集成工程到透明操作。Siemens SIMATIC STEP 7 (TIA Portal)存在反序列化漏洞,攻擊者可利用該漏洞造成類型混淆,并在受影響的應用程序中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32683
3、Microsoft Windows Secure Boot安全功能繞過漏洞(CNVD-2024-32549)
Microsoft Windows Secure Boot是美國微軟(Microsoft)公司的安全啟動。Microsoft Windows Secure Boot存在安全功能繞過漏洞,攻擊者可利用該漏洞繞過安全功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32549
4、Siemens SINEMA Remote Connect Client命令注入漏洞
SINEMA Remote Connect是一個用于遠程網絡的管理平臺,能夠簡單管理總部、服務技術人員和已安裝機器或工廠之間的隧道連接(VPN)。Siemens SINEMA Remote Connect Client存在命令注入漏洞,攻擊者可利用該漏洞以系統(tǒng)權限執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32684
5、Microsoft Windows Secure Boot安全功能繞過漏洞(CNVD-2024-32546)
Microsoft Windows Secure Boot是美國微軟(Microsoft)公司的安全啟動。Microsoft Windows Secure Boot存在安全功能繞過漏洞,攻擊者可利用該漏洞繞過安全功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32546
二、境內廠商產品漏洞
1、D-Link DAP-2622緩沖區(qū)溢出漏洞(CNVD-2024-32554)
D-Link DAP-2622是中國友訊(D-Link)公司的一款無線路由器。D-Link DAP-2622存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在根上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32554
2、用友網絡科技股份有限公司用友U8CRM存在任意文件讀取漏洞
用友U8CRM是一款專為代理銷售服務行業(yè)設計的集CRM、呼叫中心、OA核心應用于一體,提供前端營銷、后端業(yè)務處理及員工管理一體化應用的管理軟件。用友網絡科技股份有限公司用友U8CRM存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27592
3、浙江大華技術股份有限公司EIMS管理系統(tǒng)存在邏輯缺陷漏洞
浙江大華技術股份有限公司,是全球領先的以視頻為核心的智慧物聯(lián)解決方案提供商和運營服務商。浙江大華技術股份有限公司EIMS管理系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞未授權讀取服務器上的文件,可對文件進行刪除操作,對服務器造成破壞。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-29450
4、用友網絡科技股份有限公司NC Cloud存在SQL注入漏洞(CNVD-2024-29454)
NC Cloud是一款大型企業(yè)數(shù)字化平臺。用友網絡科技股份有限公司NC Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-29454
5、上海泛微網絡科技股份有限公司e-cology 9存在SQL注入漏洞
e-cology 9是一套企業(yè)大型協(xié)同管理平臺。上海泛微網絡科技股份有限公司e-cology 9存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行任意SQL語句獲取敏感信息,進一步利用可在目標服務器上執(zhí)行任意代碼,獲取目標服務器的控制權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-32680
說明:關注度分析由CNVD根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源: CNVD漏洞平臺