上周关注度较高的产品安全漏洞(20241216-20241222)

一、境外厂商产品漏洞

1、Google Chrome安全绕过漏洞（CNVD-2024-48384）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在安全绕过漏洞，攻击者可利用该漏洞绕过安全限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48384

2、Siemens SIMATIC PCS neo缓冲区溢出漏洞

SIMATIC PCS neo是一款完全基于Web的过程控制系统。Siemens SIMATIC PCS neo存在缓冲区溢出漏洞，未经身份验证的远程攻击者可利用漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48432

3、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-48222）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter 10.1.0版本及之前版本存在安全漏洞，攻击者可利用该漏洞导致敏感内存泄露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48222

4、Apache Tomcat远程代码执行漏洞

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Tomcat中存在远程代码执行漏洞，该漏洞是由于web.xml中开启readonly为false的配置，攻击者可利用该漏洞以条件竞争进行文件上传导致命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48575

5、多款Mozilla产品安全绕过漏洞（CNVD-2024-48561）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是电子邮件客户端软件，支持IMAP、POP邮件协议以及HTML邮件格式。多款Mozilla产品存在安全绕过漏洞，该漏洞源于下载.library-ms文件时未显示可执行文件警告。攻击者可利用该漏洞绕过下载保护。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48561

二、境内厂商产品漏洞

1、中科方德软件有限公司方德桌面操作系统存在命令执行漏洞

方德桌面操作系统是国产操作系统，适配海光、兆芯、飞腾、龙芯、申威、鲲鹏等国产CPU，支持x86、ARM、MIPS等主流架构。中科方德软件有限公司方德桌面操作系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48032

2、浙江大华技术股份有限公司智慧园区综合管理平台存在命令执行漏洞

浙江大华股份有限公司是领先的监控产品供应商和解决方案服务商，面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品，并提供提供热成像测温和黑体测温设备。浙江大华技术股份有限公司智慧园区综合管理平台存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48022

3、用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞（CNVD-2024-47756）