正文

上周关注度较高的产品安全漏洞(20240115-20240121)

admin
admin V管理员 /0 评论 /156 阅读
0122
此篇文章发布距今已超过365天,您需要注意文章的内容或图片是否可用!

一、境外厂商产品漏洞

1、Adobe Experience Manager跨站脚本漏洞(CNVD-2024-02979)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager 6.5.18.0版本及之前版本存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02979

2、Adobe Experience Manager跨站脚本漏洞(CNVD-2024-02978)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02978

3、Google Android代码执行漏洞(CNVD-2024-02336)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在代码执行漏洞,该漏洞是由eatt_impl.h的eatt_l2cap_reconfig_completed中的越界写入引起的。攻击者可利用此漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02336

4、Google Android信息泄露漏洞(CNVD-2024-02313)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02313

5、TRENDnet TV-IP1314PI命令注入漏洞

TRENDnet TV-IP1314PI是美国趋势网络(TRENDnet)公司的一款无线网络摄像机。TRENDnet TV-IP1314PI存在命令注入漏洞,该漏洞源于davinci使用system函数解包语言包,没有对URL字符串进行严格过滤,攻击者可利用此漏洞导致命令注入。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02733

二、境内厂商产品漏洞

1、Tenda AX1803缓冲区溢出漏洞(CNVD-2024-02217)

Tenda AX1803是中国腾达(Tenda)公司的一款双频千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在缓冲区溢出漏洞,攻击者可利用该漏洞通过使用iptv.stb.mode参数发送特制的HTTP请求在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-02217

2、TOTOLINK N350RT v8参数缓冲区溢出漏洞

TOTOLINK N350RT是中国吉翁电子(TOTOLINK)公司的一款小型家用路由器。TOTOLINK N350RT 9.3.5u.6139_B20201216版本存在缓冲区溢出漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的main函数的参数v8未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-04918

3、TOTOLINK N200RE NTPSyncWithHost函数操作系统命令注入漏洞

TOTOLINK N200RE是中国吉翁电子(TOTOLINK)公司的一个路由器。TOTOLINK N200RE 9.3.5u.6139_B20201216版本存在操作系统命令注入漏洞,该漏洞源于对/cgi-bin/cstecgi.cgi页面的NTPSyncWithHost函数的host_time参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-04920

4、珠海企盈信息技术有限公司建果云-工程数字化云平台存在未授权访问漏洞

珠海企盈信息技术有限公司专注工程建设行业数智化SaaS平台(建果云)的研发与运营服务。珠海企盈信息技术有限公司建果云-工程数字化云平台存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-00735

5、北京超图软件股份有限公司SuperMap iPortal存在命令执行漏洞

SuperMap iPortal是面向云计算的GIS门户平台,可实现对地图、服务、场景、数据等各种GIS资源进行整合、发现、分享与管理,还可实现对组织内部多个GIS服务器进行监控,保障平台系统安全稳定运行。北京超图软件股份有限公司SuperMap iPortal存在命令执行漏洞,攻击者可利用该漏洞获取服务器管理权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-35909

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下