您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240923-20240929)
一、境外廠商產(chǎn)品漏洞
1、Microsoft SQL Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2024-38793)
Microsoft SQL Server是美國(guó)微軟(Microsoft)公司的一套應(yīng)用在Microsoft Windows系統(tǒng)下的大型商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)。Microsoft SQL Server存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38793
2、Apache Hertzbeat SQL注入漏洞
Hertzbeat是一個(gè)開源的實(shí)時(shí)監(jiān)控系統(tǒng)。Hertzbeat 1.6.0之前版本存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對(duì)外部輸入SQL語句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39584
3、Google Chrome越界寫入漏洞(CNVD-2024-38803)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在越界寫入漏洞,該漏洞是由于V8中的越界寫入引起的。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38803
4、Apache IoTDB服務(wù)器端請(qǐng)求偽造漏洞
Apache IoTDB是美國(guó)阿帕奇(Apache)基金會(huì)的一款為時(shí)間序列數(shù)據(jù)設(shè)計(jì)的集成數(shù)據(jù)管理引擎,它能夠提供數(shù)據(jù)收集、存儲(chǔ)和分析服務(wù)等。Apache IoTDB存在服務(wù)器端請(qǐng)求偽造漏洞,該漏洞源于產(chǎn)品未能正確驗(yàn)證用戶輸入,攻擊者可利用該漏洞探測(cè)服務(wù)器內(nèi)網(wǎng)資源。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39153
5、Microsoft SQL Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2024-38792)
Microsoft SQL Server是美國(guó)微軟(Microsoft)公司的一套應(yīng)用在Microsoft Windows系統(tǒng)下的大型商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)。Microsoft SQL Server存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38792
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-37771)
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全防護(hù)軟件,該系統(tǒng)利用驅(qū)動(dòng)層透明加密技術(shù),通過對(duì)電子文檔的加密保護(hù),防止內(nèi)部員工泄密和外部人員非法竊取企業(yè)核心重要數(shù)據(jù)資產(chǎn)。北京億賽通科技發(fā)展有限責(zé)任公司億賽通電子文檔安全管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-37771
2、北京美特軟件技術(shù)有限公司MetaCRM6客戶關(guān)系管理系統(tǒng)存在命令執(zhí)行漏洞
北京美特軟件技術(shù)有限公司是一家以從事科技推廣和應(yīng)用服務(wù)業(yè)為主的企業(yè)。北京美特軟件技術(shù)有限公司MetaCRM6客戶關(guān)系管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38176
3、DataEase XML外部實(shí)體注入漏洞
DataEase是一款輕量級(jí)、高性能的自助式數(shù)據(jù)可視化分析工具,它可以幫助用戶快速探索和理解復(fù)雜數(shù)據(jù),提供實(shí)時(shí)的數(shù)據(jù)分析和報(bào)表生成能力,支持多種數(shù)據(jù)源,旨在提升數(shù)據(jù)分析效率和用戶體驗(yàn)。DataEase存在XML外部實(shí)體注入漏洞。攻擊者可利用該漏洞利用不當(dāng)?shù)腦ML外部實(shí)體引用限制,通過構(gòu)造惡意的XML請(qǐng)求來觸發(fā)服務(wù)器執(zhí)行不受控制的HTTP請(qǐng)求,進(jìn)而讀取服務(wù)器本地敏感文件、泄露系統(tǒng)信息或執(zhí)行拒絕服務(wù)攻擊,從而對(duì)系統(tǒng)的安全性和穩(wěn)定性造成嚴(yán)重影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39252
4、DataEase遠(yuǎn)程命令執(zhí)行漏洞(CNVD-2024-39251)
DataEase是一款高性能、易用的自助式數(shù)據(jù)可視化分析工具,幫助用戶快速探索、理解和分享數(shù)據(jù)洞察。DataEase存在遠(yuǎn)程命令執(zhí)行的漏洞,攻擊者可以利用該漏洞利用代碼注入漏洞,通過向應(yīng)用程序輸入惡意構(gòu)造的數(shù)據(jù),實(shí)現(xiàn)對(duì)系統(tǒng)執(zhí)行非授權(quán)的指令或訪問未授權(quán)的數(shù)據(jù),從而對(duì)系統(tǒng)的安全性造成威脅。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39251
5、潤(rùn)申標(biāo)準(zhǔn)化技術(shù)服務(wù)(上海)有限公司企業(yè)標(biāo)準(zhǔn)化管理系統(tǒng)存在SQL注入漏洞
潤(rùn)申標(biāo)準(zhǔn)化技術(shù)服務(wù)(上海)有限公司是一家以從事專業(yè)技術(shù)服務(wù)業(yè)為主的企業(yè)。潤(rùn)申標(biāo)準(zhǔn)化技術(shù)服務(wù)(上海)有限公司企業(yè)標(biāo)準(zhǔn)化管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38505
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)