一、境外廠商產(chǎn)品漏洞
1、Apache Superset資源管理錯(cuò)誤漏洞(CNVD-2024-14775)
Apache Superset是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)數(shù)據(jù)可視化和數(shù)據(jù)探索平臺(tái)。Apache Superset 2.1.2及之前版本、3.0.0版本和3.0.1版本存在資源管理錯(cuò)誤漏洞,該漏洞源于應(yīng)用存在不受控制的資源消耗,經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用該漏洞上傳惡意ZIP可能會(huì)觸發(fā)不受控制的資源消耗。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14775
2、Fortinet FortiPortal授權(quán)問(wèn)題漏洞
Fortinet FortiPortal是美國(guó)飛塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP產(chǎn)品線(xiàn)的高級(jí)、功能豐富的托管安全分析和管理支持工具,可作為虛擬機(jī)供MSP使用。Fortinet FortiPortal存在授權(quán)問(wèn)題漏洞,該漏洞源于存在不正確授權(quán)。攻擊者可利用該漏洞通過(guò)修改請(qǐng)求負(fù)載來(lái)下載其他組織的報(bào)告。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14760
3、Linux kernel io_uring SQ/CQ函數(shù)拒絕服務(wù)漏洞
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在拒絕服務(wù)漏洞,該漏洞源于io_uring SQ/CQ函數(shù)中發(fā)現(xiàn)了越界內(nèi)存訪(fǎng)問(wèn),攻擊者可利用該漏洞導(dǎo)致系統(tǒng)崩潰。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14769
4、IBM Integration Bus for z/OS跨站請(qǐng)求偽造漏洞
IBM Integration Bus(IBM WebSphere Message Broker)是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一款企業(yè)服務(wù)總線(xiàn)(ESB)產(chǎn)品。該產(chǎn)品為面向服務(wù)架構(gòu)(SOA)環(huán)境和非SOA環(huán)境提供連通性和通用數(shù)據(jù)轉(zhuǎn)換。IBM Integration Bus for z/OS存在跨站請(qǐng)求偽造漏洞,攻擊者可利用該漏洞執(zhí)行從網(wǎng)站信任的用戶(hù)傳輸?shù)膼阂夂臀唇?jīng)授權(quán)的操作。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14666
5、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-14653)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷(xiāo)銷(xiāo)售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞將惡意腳本注入易受攻擊的網(wǎng)頁(yè)中。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14653
二、境內(nèi)廠商產(chǎn)品漏洞
1、遠(yuǎn)秋醫(yī)學(xué)在線(xiàn)考試系統(tǒng)存在SQL注入漏洞(CNVD-2023-19468)
重慶遠(yuǎn)秋科技有限公司是國(guó)內(nèi)首家專(zhuān)業(yè)從事醫(yī)學(xué)信息收集、醫(yī)用數(shù)據(jù)庫(kù)開(kāi)發(fā)的大型情報(bào)服務(wù)機(jī)構(gòu)。遠(yuǎn)秋醫(yī)學(xué)在線(xiàn)考試系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-19468
2、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞(CNVD-2024-13697)
北京億賽通科技發(fā)展有限責(zé)任公司是國(guó)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-13697
3、北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞(CNVD-2024-13698)
北京億賽通科技發(fā)展有限責(zé)任公司是國(guó)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司數(shù)據(jù)泄露防護(hù)(DLP)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-13698
4、Huawei HarmonyOS和EMUI音頻模塊配置缺陷漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei EMUI是華為公司開(kāi)發(fā)的一種基于Android操作系統(tǒng)的用戶(hù)界面。Huawei HarmonyOS和EMUI音頻模塊存在配置缺陷漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14985
5、Huawei HarmonyOS VerifiedBoot模塊鑒權(quán)錯(cuò)誤漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS VerifiedBoot模塊存在鑒權(quán)錯(cuò)誤漏洞,攻擊者可利用該漏洞影響系統(tǒng)完整性。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14984