您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240916-20240922)
一、境外廠商產(chǎn)品漏洞
1、Adobe Animate越界讀取漏洞(CNVD-2024-38541)
Adobe Animate是美國奧多比(Adobe)公司的一套Flash動畫制作軟件。Adobe Animate存在越界讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38541
2、IBM webMethods Integration路徑遍歷漏洞
IBM webMethods Integration是美國國際商業(yè)機(jī)器(IBM)公司的一個混合的企業(yè)iPaaS。IBM webMethods Integration 10.15版本存在路徑遍歷漏洞,攻擊者可利用該漏洞發(fā)送包含“dot dot”序列(/../)的特制URL請求來查看系統(tǒng)上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38529
3、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-38582)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在代碼執(zhí)行漏洞,該漏洞是由ANGLE中的類型混淆引起的。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38582
4、IBM webMethods Integration權(quán)限提升漏洞
IBM webMethods Integration是美國國際商業(yè)機(jī)器(IBM)公司的一個混合的企業(yè)iPaaS。IBM webMethods Integration 10.15版本存在權(quán)限提升漏洞,經(jīng)過身份驗(yàn)證的攻擊者可利用該漏洞創(chuàng)建調(diào)度程序任務(wù),從而將其權(quán)限提升為管理員。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38528
5、Rockwell Automation ThinManager ThinServer輸入驗(yàn)證錯誤漏洞(CNVD-2024-38545)
Rockwell Automation ThinManager是美國羅克韋爾(Rockwell Automation)公司的一款瘦客戶端管理軟件。允許將瘦客戶端同時分配給多個遠(yuǎn)程桌面服務(wù)器。Rockwell Automation ThinManager ThinServer存在輸入驗(yàn)證錯誤漏洞,攻擊者可利用該漏洞向監(jiān)視器線程發(fā)送惡意消息,并在受影響的設(shè)備上導(dǎo)致拒絕服務(wù)狀態(tài)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38545
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京致遠(yuǎn)互聯(lián)軟件股份有限公司致遠(yuǎn)A6-m協(xié)同管理軟件企業(yè)版存在信息泄露漏洞(CNVD-2024-37241)
致遠(yuǎn)A6-m協(xié)同管理軟件企業(yè)版是面向中小型企業(yè)的一款協(xié)同管理軟件。北京致遠(yuǎn)互聯(lián)軟件股份有限公司致遠(yuǎn)A6-m協(xié)同管理軟件企業(yè)版存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37241
2、SeaCMS跨站腳本漏洞(CNVD-2024-38573)
SeaCMS是海洋CMS(SeaCMS)公司的一套使用PHP編寫的免費(fèi)、開源的網(wǎng)站內(nèi)容管理系統(tǒng)。該系統(tǒng)主要被設(shè)計用來管理視頻點(diǎn)播資源。SeaCMS存在跨站腳本漏洞,攻擊者可利用該漏洞通過注入siteurl參數(shù)的精心制作的有效負(fù)載執(zhí)行任意web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38573
3、Huawei EMUI和Huawei HarmonyOS代碼執(zhí)行漏洞
Huawei EMUI和Huawei HarmonyOS都是中國華為(Huawei)公司的產(chǎn)品。Huawei EMUI是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei HarmonyOS是一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI和Huawei HarmonyOS存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38567
4、Tenda FH451命令注入漏洞
Tenda FH451是中國騰達(dá)(Tenda)公司的一款路由器。Tenda FH451存在命令注入漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請求,在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38564
5、Huawei EMUI和Huawei HarmonyOS訪問控制錯誤漏洞
Huawei EMUI和Huawei HarmonyOS都是中國華為(Huawei)公司的產(chǎn)品。Huawei EMUI是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei HarmonyOS是一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI和Huawei HarmonyOS訪問控制錯誤漏洞,攻擊者可利用該漏洞繞過安全驗(yàn)證。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38565
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺