您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240115-20240121)
一、境外廠商產(chǎn)品漏洞
1、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-02979)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager 6.5.18.0版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02979
2、Adobe Experience Manager跨站腳本漏洞(CNVD-2024-02978)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02978
3、Google Android代碼執(zhí)行漏洞(CNVD-2024-02336)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在代碼執(zhí)行漏洞,該漏洞是由eatt_impl.h的eatt_l2cap_reconfig_completed中的越界寫入引起的。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02336
4、Google Android信息泄露漏洞(CNVD-2024-02313)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在信息泄露漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02313
5、TRENDnet TV-IP1314PI命令注入漏洞
TRENDnet TV-IP1314PI是美國趨勢網(wǎng)絡(luò)(TRENDnet)公司的一款無線網(wǎng)絡(luò)攝像機。TRENDnet TV-IP1314PI存在命令注入漏洞,該漏洞源于davinci使用system函數(shù)解包語言包,沒有對URL字符串進行嚴格過濾,攻擊者可利用此漏洞導致命令注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02733
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AX1803緩沖區(qū)溢出漏洞(CNVD-2024-02217)
Tenda AX1803是中國騰達(Tenda)公司的一款雙頻千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過使用iptv.stb.mode參數(shù)發(fā)送特制的HTTP請求在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02217
2、TOTOLINK N350RT v8參數(shù)緩沖區(qū)溢出漏洞
TOTOLINK N350RT是中國吉翁電子(TOTOLINK)公司的一款小型家用路由器。TOTOLINK N350RT
9.3.5u.6139_B20201216版本存在緩沖區(qū)溢出漏洞,該漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的main函數(shù)的參數(shù)v8未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-04918
3、TOTOLINK N200RE NTPSyncWithHost函數(shù)操作系統(tǒng)命令注入漏洞
TOTOLINK N200RE是中國吉翁電子(TOTOLINK)公司的一個路由器。TOTOLINK N200RE 9.3.5u.6139_B20201216版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于對/cgi-bin/cstecgi.cgi頁面的NTPSyncWithHost函數(shù)的host_time參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-04920
4、珠海企盈信息技術(shù)有限公司建果云-工程數(shù)字化云平臺存在未授權(quán)訪問漏洞
珠海企盈信息技術(shù)有限公司專注工程建設(shè)行業(yè)數(shù)智化SaaS平臺(建果云)的研發(fā)與運營服務(wù)。珠海企盈信息技術(shù)有限公司建果云-工程數(shù)字化云平臺存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-00735
5、北京超圖軟件股份有限公司SuperMap iPortal存在命令執(zhí)行漏洞
SuperMap iPortal是面向云計算的GIS門戶平臺,可實現(xiàn)對地圖、服務(wù)、場景、數(shù)據(jù)等各種GIS資源進行整合、發(fā)現(xiàn)、分享與管理,還可實現(xiàn)對組織內(nèi)部多個GIS服務(wù)器進行監(jiān)控,保障平臺系統(tǒng)安全穩(wěn)定運行。北京超圖軟件股份有限公司SuperMap iPortal存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器管理權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-35909
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺