一、境外廠商產(chǎn)品漏洞
1、Apache Fineract SQL注入漏洞(CNVD-2024-16106)
Apache Fineract是美國阿帕奇(Apache)基金會的一套開源數(shù)字金融服務(wù)平臺。該平臺能夠為用戶提供數(shù)據(jù)管理、貸款和儲蓄投資組合管理以及實時財務(wù)數(shù)據(jù)等功能。Apache Fineract 1.8.5之前版本存在SQL注入漏洞,攻擊者可利用該漏洞使用sqlSearch參數(shù)發(fā)送特制的SQL語句,查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-16106
2、Dell PowerScale OneFS信息泄露漏洞(CNVD-2024-16220)
Dell PowerScale OneFS是美國戴爾(Dell)公司的一個操作系統(tǒng)。提供橫向擴展NAS的PowerScale OneFS操作系統(tǒng)。Dell PowerScale OneFS存在信息泄露漏洞,該漏洞源于包含使用損壞或有風險的加密算法。攻擊者可利用該漏洞危及敏感信息的機密性和完整性。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-16220
3、Apache InLong代碼問題漏洞(CNVD-2024-16113)
Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.8.0版本到1.10.0版本存在代碼問題漏洞,攻擊者可利用該漏洞通過發(fā)送特制的有效負載,讀取系統(tǒng)上的任意文件。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-16113
4、IBM Cognos Analytics表單跨站請求偽造漏洞
IBM Cognos Analytics是美國國際商業(yè)機器(IBM)公司的一套商業(yè)智能軟件。IBM Cognos Analytics表單處理存在跨站請求偽造漏洞,遠程攻擊者可以利用該漏洞構(gòu)建惡意URI,誘使請求,可以目標用戶上下文執(zhí)行惡意操作。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-15733
5、Apache Fineract權(quán)限提升漏洞
Apache Fineract是美國阿帕奇(Apache)基金會的一套開源數(shù)字金融服務(wù)平臺。該平臺能夠為用戶提供數(shù)據(jù)管理、貸款和儲蓄投資組合管理以及實時財務(wù)數(shù)據(jù)等功能。Apache Fineract存在權(quán)限提升漏洞,攻擊者可利用該漏洞獲取任何角色的提升權(quán)限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-16108
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2024-14992)
北京億賽通科技發(fā)展有限責任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14992
2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在未授權(quán)訪問漏洞(CNVD-2024-14380)
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞未授權(quán)添加用戶。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14380
3、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在信息泄露漏洞(CNVD-2024-14798)
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14798
4、北京亞控科技發(fā)展有限公司組態(tài)王(KingView)存在拒絕服務(wù)漏洞
組態(tài)王(KingView)是北京亞控科技發(fā)展有限公司生產(chǎn)的一款工業(yè)自動化組態(tài)軟件。北京亞控科技發(fā)展有限公司組態(tài)王(KingView)存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致軟件崩潰。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-14200
5、Tenda AC10操作系統(tǒng)命令注入漏洞(CNVD-2024-15743)
Tenda AC10是中國騰達(Tenda)公司的一款無線路由器。Tenda AC10U 15.03.06.49版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于/goform/WriteFacMac文件的formWriteFacMac函數(shù)的mac參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-15743
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。