上周关注度较高的产品安全漏洞(20241021-20241027)

一、境外厂商产品漏洞

1、Adobe Commerce不当授权漏洞（CNVD-2024-41467）

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在不当授权漏洞，攻击者可利用此漏洞导致安全功能绕过。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41467

2、VMware vCenter Server堆溢出漏洞

VMware vCenter Server是VMware公司提供的一款虚拟化管理平台，用于集中管理和监控VMware vSphere虚拟化环境。VMware vCenter Server存在堆溢出漏洞，该漏洞是由于VMware vCenter Server在DCERPC协议实施过程中存在堆溢出漏洞，攻击者可利用该漏洞发送特制的网络数据包从而导致远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41447

3、Siemens InterMesh Subscriber Devices权限分配不正确漏洞

InterMesh是一个无线报警报告系统，它使用网状无线网络技术来传递报警信号。Siemens InterMesh Subscriber Devices存在权限分配不正确漏洞，该漏洞是由于受影响的设备包含一个SUID二进制文件，攻击者可利用该漏洞以root权限执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41572

4、IBM MQ拒绝服务漏洞（CNVD-2024-41243）

IBM MQ（IBM WebSphere MQ）是美国国际商业机器（IBM）公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。IBM MQ存在拒绝服务漏洞，攻击者可利用该漏洞进行拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41243

5、Apache CloudStack输入验证错误漏洞（CNVD-2024-41660）

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache CloudStack存在安全漏洞，攻击者可利用该漏洞获取主机文件系统的访问权限，导致资源完整性和机密性受损、数据丢失、拒绝服务以及托管在CloudStack上的KVM基础设施的可用性问题。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41660

二、境内厂商产品漏洞

1、浙江大华技术股份有限公司智慧园区综合管理系统存在SQL注入漏洞（CNVD-2024-41305）

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41305

2、北京北大方正电子有限公司方正移动采编存在文件上传漏洞

北京北大方正电子有限公司是跨媒体信息传播领域技术、产品和服务的领先提供商。北京北大方正电子有限公司方正移动采编存在文件上传漏洞，攻击者可利用该漏洞在未登录系统的情况下上传任意后缀的文件，获取敏感信息等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41328

3、广东中设智控科技股份有限公司设备资产综合管控平台存在信息泄露漏洞