上周关注度较高的产品安全漏洞(20240219-20240225)

一、境外厂商产品漏洞

1、Shim缓冲区溢出漏洞

shim是一个SciDB的简单HTTP服务。Shim存在安全漏洞，该漏洞源于http启动支持中包含远程代码执行漏洞，可以绕过安全启动。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-09863

2、Mattermost跨站请求伪造漏洞（CNVD-2024-09864）

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在跨站请求伪造漏洞，该漏洞源于Jira插件无法防止注销CSRF，攻击者可利用该漏洞发布特制消息，仅通过查看消息即可断开用户在Mattermost中的Jira连接。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-09864

3、IBM Integration Bus资源管理错误漏洞

IBM Integration Bus（IBM WebSphere Message Broker）是美国国际商业机器（IBM）公司的一款企业服务总线（ESB）产品。该产品为面向服务架构（SOA）环境和非SOA环境提供连通性和通用数据转换。IBM Integration Bus存在资源管理错误漏洞，该漏洞源于AdminAPI容易因文件系统耗尽而遭受拒绝服务攻击。攻击者可利用该漏洞造成浏览器崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-09895

4、Mattermost资源管理错误漏洞（CNVD-2024-09865）

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在资源管理错误漏洞，该漏洞源于在将其发送到帖子时无法检查是否存在自定义表情符号，也无法限制允许在帖子中添加的自定义表情符号数量，攻击者可利用该漏洞在帖子中发送大量不存在的自定义表情符号而导致崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-09865

5、Adobe Substance 3D Painter缓冲区错误漏洞（CNVD-2024-09896）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter 9.1.1版本之前存在缓冲区错误漏洞，该漏洞源于存在越界读取，可能导致敏感内存泄露。攻击者可以利用漏洞导致敏感内存泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-09896

二、境内厂商产品漏洞

1、北京星网锐捷网络技术有限公司EG3210存在命令执行漏洞