您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20241021-20241027)
一、境外廠商產(chǎn)品漏洞
1、Adobe Commerce不當(dāng)授權(quán)漏洞(CNVD-2024-41467)
Adobe Commerce是美國(guó)奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數(shù)字商務(wù)解決方案。Adobe Commerce存在不當(dāng)授權(quán)漏洞,攻擊者可利用此漏洞導(dǎo)致安全功能繞過。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41467
2、VMware vCenter Server堆溢出漏洞
VMware vCenter Server是VMware公司提供的一款虛擬化管理平臺(tái),用于集中管理和監(jiān)控VMware vSphere虛擬化環(huán)境。VMware vCenter Server存在堆溢出漏洞,該漏洞是由于VMware vCenter Server在DCERPC協(xié)議實(shí)施過程中存在堆溢出漏洞,攻擊者可利用該漏洞發(fā)送特制的網(wǎng)絡(luò)數(shù)據(jù)包從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41447
3、Siemens InterMesh Subscriber Devices權(quán)限分配不正確漏洞
InterMesh是一個(gè)無線報(bào)警報(bào)告系統(tǒng),它使用網(wǎng)狀無線網(wǎng)絡(luò)技術(shù)來傳遞報(bào)警信號(hào)。Siemens InterMesh Subscriber Devices存在權(quán)限分配不正確漏洞,該漏洞是由于受影響的設(shè)備包含一個(gè)SUID二進(jìn)制文件,攻擊者可利用該漏洞以root權(quán)限執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41572
4、IBM MQ拒絕服務(wù)漏洞(CNVD-2024-41243)
IBM MQ(IBM WebSphere MQ)是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一款消息傳遞中間件產(chǎn)品。該產(chǎn)品主要為面向服務(wù)的體系結(jié)構(gòu)(SOA)提供可靠的、經(jīng)過驗(yàn)證的消息傳遞主干網(wǎng)。IBM MQ存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞進(jìn)行拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41243
5、Apache CloudStack輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2024-41660)
Apache CloudStack是美國(guó)阿帕奇(Apache)基金會(huì)的一套基礎(chǔ)架構(gòu)即服務(wù)(IaaS)云計(jì)算平臺(tái)。該平臺(tái)主要用于部署和管理大型虛擬機(jī)網(wǎng)絡(luò)。Apache CloudStack存在安全漏洞,攻擊者可利用該漏洞獲取主機(jī)文件系統(tǒng)的訪問權(quán)限,導(dǎo)致資源完整性和機(jī)密性受損、數(shù)據(jù)丟失、拒絕服務(wù)以及托管在CloudStack上的KVM基礎(chǔ)設(shè)施的可用性問題。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41660
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-41305)
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41305
2、北京北大方正電子有限公司方正移動(dòng)采編存在文件上傳漏洞
北京北大方正電子有限公司是跨媒體信息傳播領(lǐng)域技術(shù)、產(chǎn)品和服務(wù)的領(lǐng)先提供商。北京北大方正電子有限公司方正移動(dòng)采編存在文件上傳漏洞,攻擊者可利用該漏洞在未登錄系統(tǒng)的情況下上傳任意后綴的文件,獲取敏感信息等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-41328
3、廣東中設(shè)智控科技股份有限公司設(shè)備資產(chǎn)綜合管控平臺(tái)存在信息泄露漏洞
廣東中設(shè)智控科技股份有限公司是一家高新技術(shù)領(lǐng)域的專精特新企業(yè),以工業(yè)互聯(lián)網(wǎng)與智慧城市數(shù)字技術(shù)創(chuàng)新應(yīng)用為核心業(yè)務(wù)。廣東中設(shè)智控科技股份有限公司設(shè)備資產(chǎn)綜合管控平臺(tái)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40552
4、北京亞控科技發(fā)展有限公司kingh5stream存在邏輯缺陷漏洞(CNVD-2023-50681)
KingH5Stream是基于HTML5技術(shù)的優(yōu)秀視頻直播方案,具有低延遲、高性能、易部署等優(yōu)點(diǎn)。北京亞控科技發(fā)展有限公司kingh5stream存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-50681
5、江蘇浪潮信息咨詢有限公司國(guó)資監(jiān)管信息化平臺(tái)存在文件上傳漏洞
江蘇浪潮信息咨詢有限公司是一家擁有ERP資深行業(yè)顧問、深厚技術(shù)背景和行業(yè)經(jīng)驗(yàn),勇于創(chuàng)新,以“ 誠(chéng)信經(jīng)營(yíng)、秉承先進(jìn)、技術(shù)深厚”為目標(biāo)的IT公司。江蘇浪潮信息咨詢有限公司國(guó)資監(jiān)管信息化平臺(tái)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-40578
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)