您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240318-20240324)
一、境外廠(chǎng)商產(chǎn)品漏洞
1、Apache Tomcat輸入驗(yàn)證錯(cuò)誤漏洞
Apache Tomcat是美國(guó)阿帕奇(Apache)基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13568
2、Delinea PAM Secret Server信息泄露漏洞
Delinea PAM Secret Server是Delinea公司的一款密鑰服務(wù)管理器。Delinea PAM Secret Server 11.4版本存在信息泄露漏洞,攻擊者可利用該漏洞從內(nèi)存轉(zhuǎn)儲(chǔ)讀取數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14050
3、Tenda W9越界寫(xiě)入漏洞(CNVD-2024-14372)
Tenda W9是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線(xiàn)入墻接入點(diǎn)。Tenda W9 1.0.0.7版本存在越界寫(xiě)入漏洞,該漏洞源于formOfflineSet函數(shù)的ssidIndex參數(shù)存在基于堆棧的緩沖區(qū)溢出。攻擊者可以利用該漏洞注入惡意代碼,從而竊取敏感信息或者破壞系統(tǒng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14372
4、Siemens Simcenter Femap緩沖區(qū)溢出漏洞(CNVD-2024-13809)
Siemens Simcenter Femap是德國(guó)西門(mén)子(Siemens)公司的一款尖端工程學(xué)仿真應(yīng)用程序。用于創(chuàng)建、編輯和導(dǎo)入/重用復(fù)雜產(chǎn)品或系統(tǒng)基于網(wǎng)格的有限元分析模型。Siemens Simcenter Femap V2306.0000之前版本存在緩沖區(qū)溢出漏洞,該漏洞源于在解析Catia MODEL文件時(shí)沒(méi)有檢查緩沖區(qū)輸入大小,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)或者代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13809
5、Apache Tomcat拒絕服務(wù)漏洞(CNVD-2024-13569)
Apache Tomcat是美國(guó)阿帕奇(Apache)基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞增加資源消耗,導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13569
二、境內(nèi)廠(chǎng)商產(chǎn)品漏洞
1、Tenda AC9緩沖區(qū)溢出漏洞(CNVD-2024-14374)
Tenda AC9是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線(xiàn)路由器。Tenda AC9存在緩沖區(qū)溢出漏洞。該漏洞源于setSchedWifi函數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞通過(guò)特制的溢出數(shù)據(jù)造成拒絕服務(wù)或運(yùn)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14374
2、Tenda AC10U formSetSpeedWan函數(shù)緩沖區(qū)溢出漏洞
Tenda AC10U是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線(xiàn)路由器。Tenda AC10U存在緩沖區(qū)溢出漏洞,該漏洞源于formSetSpeedWan函數(shù)中的speed_dir參數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13797
3、上海卓卓網(wǎng)絡(luò)科技有限公司DedeCMS存在SQL注入漏洞(CNVD-2024-13237)
DedeCMS是國(guó)內(nèi)最知名的PHP開(kāi)源網(wǎng)站管理系統(tǒng),也是使用用戶(hù)最多的PHP類(lèi)CMS系統(tǒng)。上海卓卓網(wǎng)絡(luò)科技有限公司DedeCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13237
4、TOTOLINK EX1800T命令執(zhí)行漏洞
TOTOLINK EX1800T是中國(guó)吉翁電子(TOTOLINK)公司的一款Wi-Fi范圍擴(kuò)展器。TOTOLINK EX1800T存在命令執(zhí)行漏洞。該漏洞源于cstecgi .cgi的setLanguageCfg接口的langFlag參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13794
5、萬(wàn)戶(hù)ezOFFICE協(xié)同管理平臺(tái)存在文件上傳漏洞(CNVD-2024-14208)
萬(wàn)戶(hù)ezOFFICE協(xié)同管理平臺(tái)是一個(gè)綜合信息基礎(chǔ)應(yīng)用平臺(tái)。萬(wàn)戶(hù)ezOFFICE協(xié)同管理平臺(tái)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14208
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)