一、境外廠(chǎng)商產(chǎn)品漏洞
1、IBM Cognos Controller信息泄露漏洞(CNVD-2024-23286)
IBM Cognos Controller是美國國際商業(yè)機器(IBM)公司的一套商業(yè)智能與計劃解決方案。該產(chǎn)品具有流程自動(dòng)化、財務(wù)審計控制、創(chuàng )建和管理財務(wù)報告等功能。IBM Cognos Controller存在信息泄露漏洞,該漏洞源于不會(huì )在授權令牌或會(huì )話(huà)cookie上設置安全屬性。攻擊者可利用該漏洞通過(guò)向用戶(hù)發(fā)送http:// 鏈接或將此鏈接植入用戶(hù)訪(fǎng)問(wèn)的網(wǎng)站來(lái)獲取cookie值。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23286
2、SAP macOS-enterprise-privileges緩沖區溢出漏洞
SAP macOS-enterprise-privileges是德國思愛(ài)普(SAP)公司的一款應用軟件,可以提供一種快速、簡(jiǎn)單的方法在需要時(shí)獲取管理員權限。SAP macOS-enterprise-privileges 1.5.4之前版本存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致系統崩潰。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23327
3、Siemens RUGGEDCOM CROSSBOW SQL注入漏洞
Siemens RUGGEDCOM CROSSBOW是德國西門(mén)子(Siemens)公司的一個(gè)經(jīng)過(guò)驗證的安全訪(fǎng)問(wèn)管理解決方案。Siemens RUGGEDCOM CROSSBOW存在SQL注入漏洞,該漏洞是由于受影響的客戶(hù)端系統在將輸入數據發(fā)送到SQL服務(wù)器之前未能正確地對其進(jìn)行過(guò)濾。攻擊者可利用此漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23527
4、IBM AIX權限提升漏洞(CNVD-2024-23284)
IBM AIX是美國國際商業(yè)機器(IBM)公司的一款為IBM Power體系架構開(kāi)發(fā)的一種基于開(kāi)放標準的UNIX操作系統。IBM AIX存在安全漏洞。攻擊者可利用該漏洞提升權限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23284
5、Mozilla Firefox安全繞過(guò)漏洞(CNVD-2024-23344)
Mozilla Firefox是美國Mozilla基金會(huì )的一款開(kāi)源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個(gè)延長(cháng)支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來(lái)的電子郵件客戶(hù)端軟件。Mozilla Firefox存在安全繞過(guò)漏洞,攻擊者可利用該漏洞繞過(guò)安全限制。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23344
二、境內廠(chǎng)商產(chǎn)品漏洞
1、北京星網(wǎng)銳捷網(wǎng)絡(luò )技術(shù)有限公司EG2000CE存在命令執行漏洞(CNVD-2024-22811)
EG2000CE是一款智能路由器。北京星網(wǎng)銳捷網(wǎng)絡(luò )技術(shù)有限公司EG2000CE存在命令執行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-22811
2、H3C ER5100G2系統管理存在命令執行漏洞
ER5100G2是新一代企業(yè)級千兆有線(xiàn)路由器。H3C ER5100G2系統管理存在命令執行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-22766
3、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統存在命令執行漏洞(CNVD-2024-23166)
北京億賽通科技發(fā)展有限責任公司是國內數據安全、網(wǎng)絡(luò )安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統存在命令執行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23166
4、統信軟件技術(shù)有限公司統信桌面操作系統存在任意文件寫(xiě)入漏洞
統信桌面操作系統是一款國產(chǎn)桌面操作系統。統信軟件技術(shù)有限公司統信桌面操作系統存在任意文件寫(xiě)入漏洞,攻擊者可利用漏洞修改任意文件,從而進(jìn)行本地提權。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23842
5、Tenda AC8 formSetRebootTimer函數存在棧緩沖區溢出漏洞
Tenda AC8是一款路由器產(chǎn)品,主要用于家庭和小型辦公室的網(wǎng)絡(luò )連接。Tenda AC8在16.03.34.09版本中的/goform/SetRebootTimer文件的formSetRebootTimer函數存在棧緩沖區溢出漏洞。攻擊者可以利用該漏洞遠程操縱rebootTime參數,執行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23310