您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240805-20240811)
一、境外廠商產(chǎn)品漏洞
1、Mozilla Firefox和Thunderbird代碼執(zhí)行漏洞(CNVD-2024-34597)
Mozilla Firefox是一款開源Web瀏覽器。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。Mozilla Firefox和Thunderbird存在代碼執(zhí)行漏洞,該漏洞是由NSS中的內(nèi)存破壞引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34597
2、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-34498)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在代碼執(zhí)行漏洞,該漏洞源于Tabs中內(nèi)存釋放后重用,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34498
3、Mozilla Firefox和Thunderbird安全繞過漏洞
Mozilla Firefox是一款開源Web瀏覽器。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。Mozilla Firefox和Thunderbird存在安全繞過漏洞,該漏洞是由與捕獲轉(zhuǎn)義鍵按下的表單驗證彈出窗口相關(guān)的錯誤引起的。攻擊者可利用該漏洞繞過安全限制。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34593
4、Rockwell Automation PowerFlex 527輸入驗證錯誤漏洞(CNVD-2024-34873)
Rockwell Automation PowerFlex 527是美國羅克韋爾(Rockwell Automation)公司的一款可調(diào)交流變頻器。Rockwell Automation PowerFlex 527存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34873
5、AutomationDirect P3-550E訪問控制錯誤漏洞(CNVD-2024-34888)
AutomationDirect P3-550E是美國AutomationDirect公司的一個可編程控制系統(tǒng)(PLC)。AutomationDirect P3-550E 1.2.10.9版本存在訪問控制錯誤漏洞,攻擊者可利用該漏洞通過發(fā)送特制的網(wǎng)絡(luò)數(shù)據(jù)包導(dǎo)致信息泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34888
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞
電子文檔安全管理系統(tǒng)是一款電子文檔安全防護(hù)軟件,該系統(tǒng)利用驅(qū)動層透明加密技術(shù),通過對電子文檔的加密保護(hù),防止內(nèi)部員工泄密和外部人員非法竊取企業(yè)核心重要數(shù)據(jù)資產(chǎn)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14433
2、福州網(wǎng)鈦軟件科技有限公司idcCMS跨站請求偽造漏洞
idcCMS是福州網(wǎng)鈦軟件科技有限公司的一個云管理代理系統(tǒng)。福州網(wǎng)鈦軟件科技有限公司idcCMS存在跨站請求偽造漏洞,攻擊者可利用該漏洞發(fā)送錯誤的HTTP請求執(zhí)行跨站點腳本攻擊、Web緩存中毒和其他惡意活動。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34974
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2023-87982)
電子文檔安全管理系統(tǒng)是一款可控授權(quán)的電子文檔安全共享管理系統(tǒng),采用實時動態(tài)加解密保護(hù)技術(shù)和實時權(quán)限回收機(jī)制,提供對各類電子文檔內(nèi)容級的安全保護(hù)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-87982
4、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-33023)
U8 cloud是用友推出的新一代云ERP,主要聚焦成長型、創(chuàng)新型企業(yè),提供企業(yè)級云ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-33023
5、Tenda AX2 Pro代碼執(zhí)行漏洞
Tenda AX2 Pro是中國騰達(dá)(Tenda)公司的一款家庭用戶設(shè)計入門級的千兆Wi-Fi 6路由器。Tenda AX2 Pro V16.03.29.48版本存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過Routing功能執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34973
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺