您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20240513-20240519)
一、境外廠商產品漏洞
1、Apache James MIME4J輸入驗證錯誤漏洞
Apache James MIME4J是美國阿帕奇(Apache)基金會的一個庫??捎糜诮馕黾價fc822和MIME格式的電子郵件消息流,并構建電子郵件消息的樹表示。Apache James MIME4J 0.8.9及之前版本存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請求,向MIME消息添加意外的標頭。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22236
2、Siemens Parasolid X_T文件越界寫入漏洞
Siemens Parasolid是一種三維幾何建模工具,支持各種技術,包括實體建模、直接編輯和自由曲面/圖紙建模。Siemens Parasolid X_T文件存在越界寫入漏洞,攻擊者可利用該漏洞在當前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23108
3、IBM Aspera Faspex日志信息泄露漏洞
IBM Aspera是美國國際商業(yè)機器(IBM)公司的一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM Aspera Faspex存在日志信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22249
4、Siemens Solid Edge越界讀取漏洞(CNVD-2024-23112)
Siemens Solid Edge是德國西門子(Siemens)公司的一款三維CAD軟件。該軟件可用于零件設計、裝配設計、鈑金設計、焊接設計等行業(yè)。Siemens Solid Edge存在越界讀取漏洞,攻擊者可利用該漏洞在當前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23112
5、IBM Aspera Faspex拒絕服務漏洞
IBM Aspera是美國國際商業(yè)機器(IBM)公司的一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM Aspera Faspex存在拒絕服務漏洞,該漏洞源于缺少API速率限制,攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22246
二、境內廠商產品漏洞
1、北京億賽通科技發(fā)展有限責任公司數據泄露防護(DLP)系統(tǒng)存在信息泄露漏洞
北京億賽通科技發(fā)展有限責任公司是國內數據安全、網絡安全及安全服務三大業(yè)務提供商。北京億賽通科技發(fā)展有限責任公司數據泄露防護(DLP)系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-21776
2、用友網絡科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-22713)
U8 Cloud是一款企業(yè)上云數字化平臺,集交易、服務、管理于一體的ERP整體解決方案。用友網絡科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22713
3、D-Link DIR-845L命令執(zhí)行漏洞
D-Link DIR-845L是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-845L存在命令執(zhí)行漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請求在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23132
4、北京亞控科技發(fā)展有限公司KingSuperSCADA運行系統(tǒng)客戶端存在信息泄露漏洞(CNVD-2024-18096)
北京亞控科技發(fā)展有限公司簡稱“亞控科技”,是一家成立于1997年的工業(yè)自動化和信息化軟件平臺高科技企業(yè)。北京亞控科技發(fā)展有限公司KingSuperSCADA運行系統(tǒng)客戶端存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-18096
5、用友網絡科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-22710)
U8 Cloud是一款企業(yè)上云數字化平臺,集交易、服務、管理于一體的ERP整體解決方案。用友網絡科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-22710
說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺