您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240617-20240623)
一、境外廠商產(chǎn)品漏洞
1、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-27330)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 126.0.6478.54之前版本存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過精心設(shè)計的HTML頁面導(dǎo)致堆損壞。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27330
2、Siemens RUGGEDCOM CROSSBOW信息泄露漏洞
Siemens RUGGEDCOM CROSSBOW是德國西門子(Siemens)公司的一個經(jīng)過驗證的安全訪問管理解決方案。Siemens RUGGEDCOM CROSSBOW存在信息泄露漏洞,該漏洞是由于受影響的系統(tǒng)可能允許在某些情況下將日志消息轉(zhuǎn)發(fā)到特定的客戶端。攻擊者可利用此漏洞將日志消息轉(zhuǎn)發(fā)到特定的受損客戶端。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27526
3、Google Android信息泄露漏洞(CNVD-2024-27516)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在信息泄露漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27516
4、Siemens PS/IGES Parasolid Translator組件類型混淆漏洞(CNVD-2024-27525)
Parasolild Translators是單格式翻譯器工具包,用于Parasolid和幾種行業(yè)格式(如STEP或IGES)之間的高速端到端翻譯。Siemens PS/IGES Parasolid Translator組件存在類型混淆漏洞,攻擊者可利用該漏洞在當(dāng)前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27525
5、Google Android權(quán)限提升漏洞(CNVD-2024-27513)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞是由于多個位置的輸入驗證不正確。攻擊者可利用此漏洞升級權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27513
二、境內(nèi)廠商產(chǎn)品漏洞
1、TOTOLINK CP900L loginAuth函數(shù)緩沖區(qū)溢出漏洞
TOTOLINK CP900L是中國吉翁電子(TOTOLINK)公司的一個無線路由器。TOTOLINK CP900L v4.1.5cu.798_B20221228版本存在緩沖區(qū)溢出漏洞,該漏洞源于loginAuth函數(shù)的password參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27554
2、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-UAC 6000-E20C存在命令執(zhí)行漏洞(CNVD-2024-24567)
RG-UAC 6000-E20C是一款上網(wǎng)行為管理與審計產(chǎn)品。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-UAC 6000-E20C存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24567
3、長沙友點軟件科技有限公司YouDianCMS存在命令執(zhí)行漏洞
YouDianCMS集電腦網(wǎng)站、手機網(wǎng)站、微信、APP、小程序于一體,共用空間,數(shù)據(jù)自動同步,是國內(nèi)開源五站合一優(yōu)秀解決方案。長沙友點軟件科技有限公司YouDianCMS存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-62713
4、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司NBR6210-E存在命令執(zhí)行漏洞(CNVD-2024-24564)
北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司NBR6210-E是一款路由器產(chǎn)品。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司NBR6210-E存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-24564
5、用友網(wǎng)絡(luò)科技股份有限公司用友NC存在XML實體注入漏洞
用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在XML實體注入漏洞,攻擊者可利用漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23770
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺