您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240805-20240811)
一、境外廠商產(chǎn)品漏洞
1、Mozilla Firefox和Thunderbird代碼執(zhí)行漏洞(CNVD-2024-34597)
Mozilla Firefox是一款開(kāi)源Web瀏覽器。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶端軟件。Mozilla Firefox和Thunderbird存在代碼執(zhí)行漏洞,該漏洞是由NSS中的內(nèi)存破壞引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34597
2、Google Chrome代碼執(zhí)行漏洞(CNVD-2024-34498)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在代碼執(zhí)行漏洞,該漏洞源于Tabs中內(nèi)存釋放后重用,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34498
3、Mozilla Firefox和Thunderbird安全繞過(guò)漏洞
Mozilla Firefox是一款開(kāi)源Web瀏覽器。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶端軟件。Mozilla Firefox和Thunderbird存在安全繞過(guò)漏洞,該漏洞是由與捕獲轉(zhuǎn)義鍵按下的表單驗(yàn)證彈出窗口相關(guān)的錯(cuò)誤引起的。攻擊者可利用該漏洞繞過(guò)安全限制。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34593
4、Rockwell Automation PowerFlex 527輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2024-34873)
Rockwell Automation PowerFlex 527是美國(guó)羅克韋爾(Rockwell Automation)公司的一款可調(diào)交流變頻器。Rockwell Automation PowerFlex 527存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34873
5、AutomationDirect P3-550E訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2024-34888)
AutomationDirect P3-550E是美國(guó)AutomationDirect公司的一個(gè)可編程控制系統(tǒng)(PLC)。AutomationDirect P3-550E 1.2.10.9版本存在訪問(wèn)控制錯(cuò)誤漏洞,攻擊者可利用該漏洞通過(guò)發(fā)送特制的網(wǎng)絡(luò)數(shù)據(jù)包導(dǎo)致信息泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34888
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞
電子文檔安全管理系統(tǒng)是一款電子文檔安全防護(hù)軟件,該系統(tǒng)利用驅(qū)動(dòng)層透明加密技術(shù),通過(guò)對(duì)電子文檔的加密保護(hù),防止內(nèi)部員工泄密和外部人員非法竊取企業(yè)核心重要數(shù)據(jù)資產(chǎn)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14433
2、福州網(wǎng)鈦軟件科技有限公司idcCMS跨站請(qǐng)求偽造漏洞
idcCMS是福州網(wǎng)鈦軟件科技有限公司的一個(gè)云管理代理系統(tǒng)。福州網(wǎng)鈦軟件科技有限公司idcCMS存在跨站請(qǐng)求偽造漏洞,攻擊者可利用該漏洞發(fā)送錯(cuò)誤的HTTP請(qǐng)求執(zhí)行跨站點(diǎn)腳本攻擊、Web緩存中毒和其他惡意活動(dòng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34974
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2023-87982)
電子文檔安全管理系統(tǒng)是一款可控授權(quán)的電子文檔安全共享管理系統(tǒng),采用實(shí)時(shí)動(dòng)態(tài)加解密保護(hù)技術(shù)和實(shí)時(shí)權(quán)限回收機(jī)制,提供對(duì)各類電子文檔內(nèi)容級(jí)的安全保護(hù)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-87982
4、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-33023)
U8 cloud是用友推出的新一代云ERP,主要聚焦成長(zhǎng)型、創(chuàng)新型企業(yè),提供企業(yè)級(jí)云ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在SQL注入漏洞,攻擊者可利用該獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-33023
5、Tenda AX2 Pro代碼執(zhí)行漏洞
Tenda AX2 Pro是中國(guó)騰達(dá)(Tenda)公司的一款家庭用戶設(shè)計(jì)入門級(jí)的千兆Wi-Fi 6路由器。Tenda AX2 Pro V16.03.29.48版本存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過(guò)Routing功能執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-34973
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)