一、境外廠商產(chǎn)品漏洞
1、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-02979)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager 6.5.18.0版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02979
2、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-02978)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02978
3、Google Android代碼執(zhí)行漏洞(CNVD-2024-02336)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在代碼執(zhí)行漏洞,該漏洞是由eatt_impl.h的eatt_l2cap_reconfig_completed中的越界寫入引起的。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02336
4、Google Android信息泄露漏洞(CNVD-2024-02313)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在信息泄露漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02313
5、TRENDnet TV-IP1314PI命令注入漏洞
TRENDnet TV-IP1314PI是美國(guó)趨勢(shì)網(wǎng)絡(luò)(TRENDnet)公司的一款無(wú)線網(wǎng)絡(luò)攝像機(jī)。TRENDnet TV-IP1314PI存在命令注入漏洞,該漏洞源于davinci使用system函數(shù)解包語(yǔ)言包,沒有對(duì)URL字符串進(jìn)行嚴(yán)格過濾,攻擊者可利用此漏洞導(dǎo)致命令注入。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02733
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AX1803緩沖區(qū)溢出漏洞(CNVD-2024-02217)
Tenda AX1803是中國(guó)騰達(dá)(Tenda)公司的一款雙頻千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過使用iptv.stb.mode參數(shù)發(fā)送特制的HTTP請(qǐng)求在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-02217
2、TOTOLINK N350RT v8參數(shù)緩沖區(qū)溢出漏洞
TOTOLINK N350RT是中國(guó)吉翁電子(TOTOLINK)公司的一款小型家用路由器。TOTOLINK N350RT 9.3.5u.6139_B20201216版本存在緩沖區(qū)溢出漏洞,該漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的main函數(shù)的參數(shù)v8未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-04918
3、TOTOLINK N200RE NTPSyncWithHost函數(shù)操作系統(tǒng)命令注入漏洞
TOTOLINK N200RE是中國(guó)吉翁電子(TOTOLINK)公司的一個(gè)路由器。TOTOLINK N200RE 9.3.5u.6139_B20201216版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于對(duì)/cgi-bin/cstecgi.cgi頁(yè)面的NTPSyncWithHost函數(shù)的host_time參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-04920
4、珠海企盈信息技術(shù)有限公司建果云-工程數(shù)字化云平臺(tái)存在未授權(quán)訪問漏洞
珠海企盈信息技術(shù)有限公司專注工程建設(shè)行業(yè)數(shù)智化SaaS平臺(tái)(建果云)的研發(fā)與運(yùn)營(yíng)服務(wù)。珠海企盈信息技術(shù)有限公司建果云-工程數(shù)字化云平臺(tái)存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-00735
5、北京超圖軟件股份有限公司SuperMap iPortal存在命令執(zhí)行漏洞
SuperMap iPortal是面向云計(jì)算的GIS門戶平臺(tái),可實(shí)現(xiàn)對(duì)地圖、服務(wù)、場(chǎng)景、數(shù)據(jù)等各種GIS資源進(jìn)行整合、發(fā)現(xiàn)、分享與管理,還可實(shí)現(xiàn)對(duì)組織內(nèi)部多個(gè)GIS服務(wù)器進(jìn)行監(jiān)控,保障平臺(tái)系統(tǒng)安全穩(wěn)定運(yùn)行。北京超圖軟件股份有限公司SuperMap iPortal存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器管理權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-35909