您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240819-20240825)
一、境外廠商產(chǎn)品漏洞
1、Google Android權(quán)限提升漏洞(CNVD-2024-36096)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36096
2、Adobe Illustrator不當(dāng)輸入驗(yàn)證漏洞
Adobe Illustrator是美國(guó)奧多比(Adobe)公司的一套基于向量的圖像制作軟件。Adobe Illustrator存在安全漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36031
3、Adobe Illustrator越界寫入漏洞(CNVD-2024-36029)
Adobe Illustrator是美國(guó)奧多比(Adobe)公司的一套基于向量的圖像制作軟件。Adobe Illustrator存在越界寫入漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36029
4、Linksys E1500命令注入漏洞
Linksys E1500是美國(guó)Linksys公司的一款無線路由器。Linksys E1500 v1.0.06.001版本存在命令注入漏洞,該漏洞源于應(yīng)用未能正確過濾構(gòu)造命令特殊字符、命令等。經(jīng)過身份驗(yàn)證的攻擊者可利用該漏洞可以以root權(quán)限執(zhí)行操作系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36349
5、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-36093)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36093
二、境內(nèi)廠商產(chǎn)品漏洞
1、青島和正信息技術(shù)有限公司金斗云HKMP存在SQL注入漏洞
青島和正信息技術(shù)有限公司是一家以從事軟件和信息技術(shù)服務(wù)業(yè)為主的企業(yè)。青島和正信息技術(shù)有限公司金斗云HKMP存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34948
2、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御VPN安全網(wǎng)關(guān)存在任意文件下載漏洞
北京網(wǎng)御星云信息技術(shù)有限公司是國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御VPN安全網(wǎng)關(guān)存在任意文件下載漏洞,攻擊者可利用該漏洞在未經(jīng)身份驗(yàn)證的情況下下載passwd等敏感文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34014
3、D-Link DI-8100命令注入漏洞
D-Link DI-8100是中國(guó)友訊(D-Link)公司的一款專為中小型網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的無線寬帶路由器。D-Link DI-8100 16.07版本存在命令注入漏洞,該漏洞源于文件upgrade_filter. asp的upgrade_filter_asp對(duì)參數(shù)路徑的操縱會(huì)導(dǎo)致命令注入,從而可以遠(yuǎn)程發(fā)起攻擊。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36355
4、北京海量數(shù)據(jù)技術(shù)股份有限公司Vastbase G100數(shù)據(jù)庫存在拒絕服務(wù)漏洞(CNVD-2024-35508)
北京海量數(shù)據(jù)技術(shù)股份有限公司成立于2007年,是中國(guó)數(shù)據(jù)技術(shù)領(lǐng)航企業(yè)。專注于數(shù)據(jù)庫產(chǎn)品研發(fā)、銷售和服務(wù),經(jīng)過多年自主研發(fā),先后發(fā)布了Vastbase E100數(shù)據(jù)庫和Vastbase G100數(shù)據(jù)庫。北京海量數(shù)據(jù)技術(shù)股份有限公司Vastbase G100數(shù)據(jù)庫存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致數(shù)據(jù)庫宕機(jī)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-35508
5、TOTOLINK X5000R setLedCfg函數(shù)操作系統(tǒng)命令注入漏洞
TOTOLINK X5000R是中國(guó)吉翁電子(TOTOLINK)公司的一個(gè)路由器。TOTOLINK X5000R v9.1.0cu.2350_b20230313版本存在操作系統(tǒng)命令注入漏洞。該漏洞源于文件/cgi-bin/cstecgi.cgi的setLedCfg函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞發(fā)送惡意數(shù)據(jù)包來執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36341
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)