一、境外廠(chǎng)商產(chǎn)品漏洞
1、Adobe Commerce資源管理錯誤漏洞(CNVD-2024-25603)
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數字商務(wù)解決方案。Adobe Commerce 2.4.7版本之前存在資源管理錯誤漏洞,該漏洞源于受到不受控制的資源消耗漏洞的影響,攻擊者可利用該漏洞導致輕微的應用程序拒絕服務(wù)。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25603
2、WordPress Boostify Header Footer Builder for Elementor plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會(huì )的產(chǎn)品。WordPress是一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設個(gè)人博客網(wǎng)站。WordPress plugin是一個(gè)應用插件。WordPress plugin Boostify Header Footer Builder for Elementor 1.3.2版本及之前版本存在跨站腳本漏洞,該漏洞源于應用對用戶(hù)提供的數據缺乏有效過(guò)濾與轉義,攻擊者利用該漏洞可以通過(guò)注入精心設計的有效載荷執行任意Web腳本或HTML。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-26457
3、Mozilla Firefox for iOS安全繞過(guò)漏洞(CNVD-2024-25613)
Mozilla Firefox是美國Mozilla基金會(huì )的一款開(kāi)源Web瀏覽器。Mozilla Firefox for iOS存在安全繞過(guò)漏洞,該漏洞是由于拖動(dòng)到地址欄時(shí)加載Javascript URL造成的。攻擊者可利用該漏洞繞過(guò)限制和安全保護。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25613
4、Microsoft OLE DB Driver for SQL Server遠程代碼執行漏洞(CNVD-2024-25653)
Microsoft OLE DB Driver for SQL Server是獨立的數據訪(fǎng)問(wèn)應用程序編程接口 (API),用于OLE DB。Microsoft OLE DB Driver for SQL Server存在遠程代碼執行漏洞,攻擊者可利用該漏洞通過(guò)說(shuō)服受害者打開(kāi)特制的內容,在系統上執行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25653
5、Adobe Commerce輸入驗證錯誤漏洞(CNVD-2024-25611)
Adobe Commerce是美國奧多比(Adobe)公司的一種面向商家和品牌的全球領(lǐng)先的數字商務(wù)解決方案。Adobe Commerce存在輸入驗證錯誤漏洞,該漏洞源于不正確輸入驗證。經(jīng)過(guò)身份驗證的攻擊者可以在`V1/customers/me`端點(diǎn)中觸發(fā)不安全的直接對象引用,以實(shí)現信息公開(kāi)和權限提升。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25611
二、境內廠(chǎng)商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責任公司數據泄露防護(DLP)系統存在SQL注入漏洞
億賽通數據泄露防護系統(DLP)是一款融合機器學(xué)習、大數據分析、文檔加密、訪(fǎng)問(wèn)控制、關(guān)聯(lián)分析、數據標識等技術(shù)的綜合性數據安全產(chǎn)品。北京億賽通科技發(fā)展有限責任公司數據泄露防護(DLP)系統存在SQL注入漏洞,攻擊者可利用漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23009
2、普元信息技術(shù)股份有限公司微服務(wù)平臺存在命令執行漏洞
普元信息技術(shù)股份有限公司是國內軟件基礎平臺(中間件)專(zhuān)業(yè)提供商,主要為金融、政務(wù)、能源、電信、制造業(yè)等行業(yè)客戶(hù),提供創(chuàng )新可靠的軟件基礎平臺產(chǎn)品及相應技術(shù)服務(wù)。普元信息技術(shù)股份有限公司微服務(wù)平臺存在命令執行漏洞,攻擊者可利用該漏洞執行任意命令。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23838
3、浙江大華技術(shù)股份有限公司智慧園區綜合管理平臺存在任意文件下載漏洞(CNVD-2024-23621)
浙江大華技術(shù)股份有限公司,是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區綜合管理平臺存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23621
4、西安瑞友信息技術(shù)資訊有限公司瑞友天翼應用虛擬化系統存在SQL注入漏洞(CNVD-2024-23827)
瑞友天翼應用虛擬化系統是國內具有自主知識產(chǎn)權的應用虛擬化平臺,是基于服務(wù)器計算(Server-based Computing)的應用虛擬化平臺。西安瑞友信息技術(shù)資訊有限公司瑞友天翼應用虛擬化系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-23827
5、Tenda F1203 setSchedWifi方法緩沖區溢出漏洞
Tenda F1203是中國騰達(Tenda)公司的一款無(wú)線(xiàn)路由器。Tenda F1203 2.0.1.6版本存在緩沖區溢出漏洞,該漏洞源于/goform/openSchedWifi文件的setSchedWifi方法的schedStartTime/schedEndTime參數未能正確驗證輸入數據的長(cháng)度大小,遠程攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務(wù)攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-26333