您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240902-20240908)
一、境外廠商產(chǎn)品漏洞
1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481)
ZOHO ManageEngine ADAudit Plus是美國卓豪(ZOHO)公司的用于簡化審計、證明合規(guī)性和檢測威脅。ZOHO ManageEngine ADAudit Plus 8121之前版本存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行自定義查詢并訪問數(shù)據(jù)庫表項(xiàng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37481
2、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37480)
ZOHO ManageEngine ADAudit Plus是美國卓豪(ZOHO)公司的用于簡化審計、證明合規(guī)性和檢測威脅。ZOHO ManageEngine ADAudit Plus 8000之前版本存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行自定義查詢并訪問數(shù)據(jù)庫表項(xiàng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37480
3、Mozilla Firefox拒絕服務(wù)漏洞(CNVD-2024-37192)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在拒絕服務(wù)漏洞,該漏洞是由于js::CheckTracedThing中的指針解引用損壞造成的。攻擊者可利用此漏洞導(dǎo)致瀏覽器崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37192
4、IBM InfoSphere Information Server拒絕服務(wù)漏洞(CNVD-2024-37058)
IBM InfoSphere Information Server是美國國際商業(yè)機(jī)器(IBM)公司的一套數(shù)據(jù)整合平臺。該平臺可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞消耗文件空間資源。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37058
5、Mozilla Firefox代碼執(zhí)行漏洞(CNVD-2024-37193)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在代碼執(zhí)行漏洞,該漏洞源于如果垃圾回收開始時JavaScript領(lǐng)域正在初始化,則可能會導(dǎo)致釋放后重用。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37193
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-36406)
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全防護(hù)軟件,該系統(tǒng)利用驅(qū)動層透明加密技術(shù),通過對電子文檔的加密保護(hù),防止內(nèi)部員工泄密和外部人員非法竊取企業(yè)核心重要數(shù)據(jù)資產(chǎn)。北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36406
2、北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-36673)
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全防護(hù)軟件,該系統(tǒng)利用驅(qū)動層透明加密技術(shù),通過對電子文檔的加密保護(hù),防止內(nèi)部員工泄密和外部人員非法竊取企業(yè)核心重要數(shù)據(jù)資產(chǎn)。北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36673
3、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-36940)
U8 Cloud是一款企業(yè)上云數(shù)字化平臺,集交易、服務(wù)、管理于一體的ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-36940
4、SeaCMS代碼執(zhí)行漏洞(CNVD-2024-37605)
SeaCMS是海洋CMS(SeaCMS)公司的一套使用PHP編寫的免費(fèi)、開源的網(wǎng)站內(nèi)容管理系統(tǒng)。該系統(tǒng)主要被設(shè)計用來管理視頻點(diǎn)播資源。SeaCMS 13.0版本存在代碼執(zhí)行漏洞,該漏洞源于admin_editplayer.php對文件的編輯限制可以被繞過,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37605
5、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在文件上傳漏洞(CNVD-2024-35419)
浙江大華技術(shù)股份有限公司是以視頻為核心的智慧物聯(lián)解決方案供應(yīng)商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在文件上傳漏洞,遠(yuǎn)程攻擊者可利用該漏洞上傳任意文件,獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-35419
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺