您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240930-20241013)
一、境外廠商產(chǎn)品漏洞
1、Siemens Simcenter Nastran堆緩沖區(qū)溢出漏洞
Simcenter Nastran是一個計算性能,精度和可靠性的有限元方法求解器。Siemens Simcenter Nastran存在堆緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40009
2、Siemens Simcenter Nastran內(nèi)存損壞漏洞
Simcenter Nastran是一個計算性能,精度和可靠性的有限元方法求解器。Siemens Simcenter Nastran存在內(nèi)存損壞漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40008
3、Siemens Questa and ModelSim非受控搜索路徑元素漏洞
Questa和ModelSim模擬器在世界范圍內(nèi)被用于模擬、調(diào)試和驗證集成電路設(shè)計等。Siemens Questa and ModelSim存在非受控搜索路徑元素漏洞,經(jīng)過身份驗證的本地攻擊者可利用該漏洞在安裝中注入任意代碼并提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40033
4、Siemens Questa and ModelSim非受控搜索路徑元素漏洞(CNVD-2024-40032)
Questa和ModelSim模擬器在世界范圍內(nèi)被用于模擬、調(diào)試和驗證集成電路設(shè)計等。Siemens Questa and ModelSim存在非受控搜索路徑元素漏洞,經(jīng)過身份驗證的本地攻擊者可利用該漏洞在安裝中注入任意代碼并提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40032
5、Siemens JT2Go堆棧緩沖區(qū)溢出漏洞
JT2Go是一個3D JT查看工具,允許用戶查看JT, PDF,Solid Edge,PLM XML與可用的JT,VFZ,CGM和TIF數(shù)據(jù)。Siemens JT2Go存在堆棧緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40011
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司智能云網(wǎng)關(guān)注冊管理平臺存在SQL注入漏洞(CNVD-2024-38747)
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運營服務(wù)商。浙江大華技術(shù)股份有限公司智能云網(wǎng)關(guān)注冊管理平臺存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38747
2、用友網(wǎng)絡(luò)科技股份有限公司U8+CRM存在文件上傳漏洞(CNVD-2024-39247)
U8+CRM是一款專為代理銷售服務(wù)行業(yè)設(shè)計的集CRM、呼叫中心、OA核心應(yīng)用于一體,提供前端營銷、后端業(yè)務(wù)處理及員工管理一體化應(yīng)用的管理軟件。用友網(wǎng)絡(luò)科技股份有限公司U8+CRM存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39247
3、用友網(wǎng)絡(luò)科技股份有限公司用友時空企業(yè)信息融通平臺KSOA存在SQL注入漏洞(CNVD-2024-39843)
用友時空企業(yè)信息融通平臺KSOA是一款基于SOA架構(gòu)的企業(yè)級應(yīng)用平臺,旨在為企業(yè)提供全面的信息化解決方案。用友網(wǎng)絡(luò)科技股份有限公司用友時空企業(yè)信息融通平臺KSOA存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-39843
4、浙江大華技術(shù)股份有限公司攝像頭服務(wù)存在任意文件下載漏洞
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司攝像頭服務(wù)存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40354
5、用友網(wǎng)絡(luò)科技股份有限公司U8CRM存在SQL注入漏洞(CNVD-2024-38701)
用友U8CRM是一款由用友軟件開發(fā)的客戶關(guān)系管理(CRM)系統(tǒng)。用友網(wǎng)絡(luò)科技股份有限公司U8CRM存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-38701
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺