您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240205-20240218)
一、境外廠商產(chǎn)品漏洞
1、IBM Tivoli Application Dependency Discovery Manager HTTP頭部注入漏洞
IBM Tivoli Application Dependency Discovery Manager(TADDM)是美國國際商業(yè)機(jī)器(IBM)公司的一套IT服務(wù)管理解決方案中的產(chǎn)品。該產(chǎn)品提供了健全的自動(dòng)化應(yīng)用程序映射和發(fā)現(xiàn),幫助管理員了解業(yè)務(wù)應(yīng)用程序的結(jié)構(gòu)、狀態(tài)、配置和變更歷史記錄。IBM Tivoli Application Dependency Discovery Manager 7.3.0.0版本到7.3.0.10版本存在HTTP頭部注入漏洞,該漏洞源于HOST標(biāo)頭未對(duì)輸入進(jìn)行正確驗(yàn)證,攻擊者可利用該漏洞對(duì)易受攻擊的系統(tǒng)進(jìn)行各種攻擊,包括跨站點(diǎn)腳本、緩存中毒或會(huì)話劫持。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07606
2、IBM Security Access Manager未授權(quán)訪問漏洞
IBM Security Access Manager是美國國際商業(yè)機(jī)器(IBM)公司的一款應(yīng)用于信息安全管理的產(chǎn)品。該產(chǎn)品通過面向Web、移動(dòng)和云計(jì)算的集成設(shè)備來實(shí)現(xiàn)訪問管理控制。IBM Security Access Manager存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞使用空密碼登錄到服務(wù)器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07609
3、IBM Cloud Pak System信息泄露漏洞(CNVD-2024-07607)
IBM Cloud Pak System是美國國際商業(yè)機(jī)器(IBM)公司的一套具有可配置、預(yù)集成軟件的全棧、融合基礎(chǔ)架構(gòu)。該產(chǎn)品支持跨混合云部署、管理和移動(dòng)應(yīng)用程序環(huán)境。IBM Cloud Pak System 2.3.1.1、2.3.2.0和2.3.3.7版本存在信息泄露漏洞,攻擊者可利用該漏洞暴力破解帳戶憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07607
4、IBM Security Verify Access拒絕服務(wù)漏洞
IBM Security Verify Access(ISAM)是美國國際商業(yè)機(jī)器(IBM)公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險(xiǎn)的訪問、單點(diǎn)登錄、集成訪問管理控制、身份聯(lián)合以及移動(dòng)多因子認(rèn)證實(shí)現(xiàn)對(duì)Web、移動(dòng)、IoT 和云技術(shù)等平臺(tái)安全簡單的訪問。IBM Security Verify Access存在拒絕服務(wù),攻擊者可利用該漏洞受到DSC服務(wù)器上的拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07612
5、IBM Security Verify Access權(quán)限提升漏洞
IBM Security Verify Access(ISAM)是美國國際商業(yè)機(jī)器(IBM)公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險(xiǎn)的訪問、單點(diǎn)登錄、集成訪問管理控制、身份聯(lián)合以及移動(dòng)多因子認(rèn)證實(shí)現(xiàn)對(duì)Web、移動(dòng)、IoT和云技術(shù)等平臺(tái)安全簡單的訪問。IBM Security Verify Access存在權(quán)限提升漏洞,該漏洞源于安全配置錯(cuò)誤,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07613
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京神州綠盟科技有限公司綠盟WAF存在命令執(zhí)行漏洞(CNVD-2024-07088)
北京神州綠盟科技有限公司是一家以從事科技推廣和應(yīng)用服務(wù)業(yè)為主的企業(yè)。北京神州綠盟科技有限公司綠盟WAF存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07088
2、四創(chuàng)科技有限公司河長制綜合管理系統(tǒng)存在邏輯缺陷漏洞
四創(chuàng)科技有限公司是中國減災(zāi)興利信息服務(wù)提供商。四創(chuàng)科技有限公司河長制綜合管理系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞繞過系統(tǒng)認(rèn)證進(jìn)行登錄。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07413
3、北京海量數(shù)據(jù)技術(shù)股份有限公司vastbase存在邏輯缺陷漏洞
vastbase是一種海量數(shù)據(jù)庫。北京海量數(shù)據(jù)技術(shù)股份有限公司vastbase存在邏輯缺陷漏洞,攻擊者可利用該漏洞通過構(gòu)造特殊的SQL語句,繞過所有動(dòng)態(tài)脫敏策略,從而查看脫敏前的原始數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07403
4、杭州合眾數(shù)據(jù)技術(shù)有限公司合眾視頻安全交換接入系統(tǒng)存在命令執(zhí)行漏洞
杭州合眾數(shù)據(jù)技術(shù)有限公司(簡稱“合眾數(shù)據(jù)”),成立于2003年,是一家專門從事數(shù)據(jù)安全與大數(shù)據(jù)領(lǐng)域研發(fā)、生產(chǎn)和銷售的高科技公司。杭州合眾數(shù)據(jù)技術(shù)有限公司合眾視頻安全交換接入系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07383
5、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在任意文件下載漏洞(CNVD-2024-05347)
電子文檔安全管理系統(tǒng)是一款可控授權(quán)的電子文檔安全共享管理系統(tǒng),采用實(shí)時(shí)動(dòng)態(tài)加解密保護(hù)技術(shù)和實(shí)時(shí)權(quán)限回收機(jī)制,提供對(duì)各類電子文檔內(nèi)容級(jí)的安全保護(hù)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-05347
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
原文來源:CNVD漏洞平臺(tái)