一、境外廠(chǎng)商產(chǎn)品漏洞
1、Fortinet FortiOS資源管理錯誤漏洞
Fortinet FortiOS是美國飛塔(Fortinet)公司的一套專(zhuān)用于FortiGate網(wǎng)絡(luò )安全平臺上的安全操作系統。該系統為用戶(hù)提供防火墻、防病毒、IPSec/SSLVPN、Web內容過(guò)濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在資源管理錯誤漏洞,攻擊者可利用該漏洞通過(guò)發(fā)送特制的請求,在系統上執行任意命令或代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24407
2、Siemens SIMATIC RTLS Locating Manager關(guān)鍵資源權限分配不正確漏洞
SIMATIC RTLS Locating Manager用于配置、操作和維護SIMATIC RTLS裝置,該裝置是一個(gè)實(shí)時(shí)無(wú)線(xiàn)定位系統,可提供定位解決方案。Siemens SIMATIC RTLS Locating Manager存在關(guān)鍵資源權限分配不正確漏洞,該漏洞是由于受影響的應用程序為用戶(hù)管理組件分配了不正確的權限。攻擊者可利用該漏洞將其權限從Administrators組提升到Systemadministrator組。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24520
3、Siemens Polarion ALM訪(fǎng)問(wèn)控制不當漏洞
Polarion ALM是一種應用程序生命周期管理解決方案,它通過(guò)針對需求、編碼、測試和發(fā)布的單一統一解決方案來(lái)改進(jìn)軟件開(kāi)發(fā)過(guò)程。Siemens Polarion ALM存在訪(fǎng)問(wèn)控制不當漏洞,該漏洞是由于受影響的應用程序中基于A(yíng)pacheLucene的查詢(xún)引擎缺乏適當的訪(fǎng)問(wèn)控制。攻擊者可利用該漏洞查詢(xún)超出用戶(hù)允許的項目的項。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24523
4、Google Android權限提升漏洞(CNVD-2024-24424)
Google Android是美國谷歌(Google)公司的一套以L(fǎng)inux為基礎的開(kāi)源操作系統。Google Android存在權限提升漏洞,該漏洞是由多個(gè)位置的越界寫(xiě)入引起的。攻擊者可利用此漏洞升級權限。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24424
5、Adobe Commerce跨站請求偽造漏洞
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數字商務(wù)解決方案。Adobe Commerce存在跨站請求偽造漏洞,該漏洞源于存在跨站請求偽造(CSRF)漏洞的影響,該漏洞可能導致安全功能繞過(guò)。目前沒(méi)有詳細的漏洞細節提供。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24299
二、境內廠(chǎng)商產(chǎn)品漏洞
1、D-Link Dir-3040us拒絕服務(wù)漏洞
D-Link Dir-3040us是一款路由器。D-Link Dir-3040us存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導致系統崩潰并重新啟動(dòng)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24535
2、深圳市吉祥騰達科技有限公司W(wǎng)15E formSetPortMapping方法緩沖區溢出漏洞
深圳市吉祥騰達科技有限公司W(wǎng)15E是中國騰達(Tenda)公司的一款無(wú)線(xiàn)路由器。深圳市吉祥騰達科技有限公司W(wǎng)15E 15.11.0.14版本存在緩沖區溢出漏洞,該漏洞源于/goform/SetPortMapping文件的formSetPortMapping方法的portMappingServer/portMappingProtocol/portMappingWan/porMappingtInternal/portMappingExternal參數未能正確驗證輸入數據的長(cháng)度大小,遠程攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務(wù)攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24954
3、深圳市吉祥騰達科技有限公司W(wǎng)15E formSetDebugCfg方法緩沖區溢出漏洞
深圳市吉祥騰達科技有限公司W(wǎng)15E是中國騰達(Tenda)公司的一款無(wú)線(xiàn)路由器。深圳市吉祥騰達科技有限公司W(wǎng)15E 15.11.0.14版本存在緩沖區溢出漏洞,該漏洞源于/goform/setDebugCfg文件的formSetDebugCfg方法的enable/level/module參數未能正確驗證輸入數據的長(cháng)度大小,遠程攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務(wù)攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24953
4、Tenda F1202 fromqossetting函數棧緩沖區溢出漏洞
Tenda F1202是中國騰達(Tenda)公司的一款采用第五代技術(shù)的雙頻 Wi-Fi 路由器。Tenda F1202 fromqossetting函數存在棧緩沖區溢出漏洞,攻擊者可利用該漏洞使緩沖區溢出并在系統上執行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24534
5、Tenda F1202 fromVirtualSer函數棧緩沖區溢出漏洞
Tenda F1202是中國騰達(Tenda)公司的一款采用第五代技術(shù)的雙頻 Wi-Fi 路由器。Tenda F1202 fromVirtualSer函數存在棧緩沖區溢出漏洞,攻擊者可利用該漏洞使緩沖區溢出并在系統上執行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-24532