十二月安全通告

病毒预警

“银狐”木马病毒新变种

• 病毒名称：银狐（又名“游蛇”或“谷堕大盗”）

• 病毒类型：木马病毒

• 影响平台：Windows系统

• 资讯来源：中国经济网

• 病毒描述：2024年12月20日，国家计算机病毒应急处理中心发布预警，提示近期在我国境内再次发现针对我国用户的“银狐”木马病毒最新变种。攻击者通过伪造财务、税务稽查通知等主题的钓鱼信息，利用微信群传播包含该木马病毒的加密压缩包文件。新变种为压缩包设置了解压密码，以逃避检测，并尝试关闭防病毒软件，具有更强的传播能力和攻击性。

• 预防建议：建议用户提高网络安全防护意识，不要轻信微信群、QQ群或其他社交媒体中传播的所谓官方通知或文件，应通过官方渠道核实。对安全性未知的可疑文件，可访问国家计算机病毒协同分析平台进行检测。发现电脑安全功能和防病毒软件被异常关闭时，应立即断开网络连接，备份重要数据，并停用相关设备，直至通过系统重装或全面安全检测后方可继续使用。

微信平台木马病毒传播

• 病毒名称：未明确命名

• 病毒类型：木马病毒

• 影响平台：Windows系统

• 资讯来源：搜狐网

• 病毒描述：2024年12月19日，微信安全中心发布公告，提醒用户警惕利用社交平台传播的木马病毒。不法分子通过微信等社交平台传播木马病毒，诱导用户点击恶意链接或下载恶意文件，从而感染设备，窃取个人信息或进行其他恶意操作。

• 预防建议：用户应提高网络安全防范意识，不轻易点击陌生人发送的链接或下载未知文件。定期更新操作系统和防病毒软件，保持设备安全。如发现异常，应及时进行全面的安全检测，必要时重装系统。

高科技企业遭受网络攻击

• 病毒名称：未明确命名

• 病毒类型：网络攻击

• 影响平台：企业网络系统

• 资讯来源：宁波市公安局

• 病毒描述：2024年8月起，我国某先进材料设计研究单位遭疑似美国情报机构网络攻击。攻击者利用我境内某电子文档安全管理系统漏洞，入侵该公司部署的软件升级管理服务器，通过软件升级服务向该公司的270余台主机投递控制木马，窃取该公司大量商业秘密信息和知识产权。

• 预防建议：企业应加强网络安全防护，及时修补系统漏洞，定期进行安全检查，确保软件和系统的安全性。同时，提升员工的安全意识，防范网络攻击。

厂商动态

微软2024年12月安全更新

• 发布日期：2024年12月11日

• 概述：微软发布了12月的“补丁星期二”安全更新，修复了72个安全漏洞。其中，Windows Server 2008 R2（仅限扩展支持）发现22个漏洞，包括6个严重漏洞和16个重要漏洞。

• 受影响产品：Windows操作系统，包括Windows Server 2008 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022等。

• 关键漏洞：

• CVE-2024-49112：LDAP远程代码执行漏洞，攻击者可利用该漏洞在未经授权的情况下执行任意代码。

• CVE-2024-49122：MSMQ远程代码执行漏洞，可能导致远程攻击者在系统上执行任意代码。

• 建议：用户应尽快安装最新的安全补丁，以防止潜在的网络攻击。

Windows 11版本24H2安全更新KB5048667

• 发布日期：2024年12月11日

• 概述：微软向Windows 11 24H2推送了十二月安全更新KB5048667，带来了多项功能改进和安全修复。

• 受影响产品：Windows 11版本24H2

• 关键更新：

• 开始菜单中固定的应用程序支持右键呼出跳转列表（Jumplist）。

• 任务栏/托盘的极简时间显示。

• 分享菜单支持分享至Android设备。

• 建议：用户应及时更新系统，以获得最新的功能和安全保护。

华为2024年12月安全更新

• 发布日期：2024年12月5日

• 概述：华为发布了主要旗舰机型的月度安全维护版本，修复了多个安全漏洞。

• 受影响产品：HarmonyOS和EMUI系统的多款设备，包括HarmonyOS 4.2.0、HarmonyOS 2.0.0、EMUI 14.0.0、EMUI 13.0.0等。

• 关键漏洞：

• CVE-2024-54097：HiView模块存在安全漏洞，成功利用此漏洞可能导致功能和完整性受影响。

• CVE-2024-54098：系统服务模块存在业务逻辑错误漏洞，可能导致完整性受影响。

• 建议：用户应及时更新设备至最新版本，确保系统安全。

Android 2024年12月安全公告

• 发布日期：2024年12月1日

• 概述：谷歌发布了Android系统的12月安全公告，修复了多个安全漏洞。

• 受影响产品：Android 10及以上版本的设备。

• 关键漏洞：多个高危漏洞，可能导致权限提升、信息泄露或拒绝服务等问题。

• 建议：用户应确保设备安装最新的安全补丁，以防范潜在的安全威胁。

信息资讯

2024年网民网络安全感满意度指数发布

• 发布日期：2024年12月21日

• 概述：《2024全国网民网络安全感满意度调查统计总报告》在北京发布，显示2024年网民网络安全感满意度指数为75.179，较2023年上升2.665，实现连续6年上升，反映了我国网络空间安全治理取得明显进展。

全国网络安全标准化技术委员会举办“标准周”活动

• 发布日期：2024年12月12日

• 概述：全国网络安全标准化技术委员会在海口举办2024年第二次“标准周”活动，围绕人工智能安全标准研究与应用、数据安全治理与消费者隐私保护等主题，组织技术研讨会和标准知识竞赛，推动网络安全标准化工作。

网络安全行业或将迎来“大年”

• 发布日期：2024年12月19日

• 概述：随着国家政策的推动和各行业对网络安全重视程度的提高，网络安全行业有望在2024年迎来快速发展。企业加大研发投入，推动人工智能等新兴技术在网络安全领域的应用，提升安全防护能力。

人工智能引发网络安全新挑战

• 发布日期：2024年12月19日

• 概述：生成式人工智能的快速发展带来了新的网络安全风险。调查显示，超过40%的企业和技术领导人对与生成式AI相关的网络风险缺乏了解。专家建议采用先进的网络安全解决方案，应对AI带来的安全挑战。

漏洞数据分析

漏洞产生原因

漏洞引发的威胁

截屏2024-12-25 11.06.29

漏洞针对的对象类型

漏洞预警

Number	CNVD-2024-46176
Title	北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞（CNVD-2024-46176）
Serverity	高
Submit Time	2024-10-21
Open Time	2024-12-05
Reference Link	nan
Formal Way	厂商已提供漏洞修补方案，建议用户下载使用：https://update.nsfocus.com/update/listCdgDetail/v/cdg820-old https://update.nsfocus.com/update/listCdgDetail/v/new-system5.6.2
Description	电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统，采用实时动态加解密保护技术和实时权限回收机制，提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京亿赛通科技发展有限责任公司电子文档安全管理系统

Number	CNVD-2024-46180
Title	全讯汇聚网络科技（北京）有限公司爱快流控路由器存在SQL注入漏洞
Serverity	高
Submit Time	2024-10-21
Open Time	2024-12-05
Reference Link	nan
Formal Way	3.0版本固件，已修复此漏洞，建议用户下载使用：https://www.ikuai8.com/
Description	爱快流控路由器是全讯汇聚网络科技（北京）有限公司旗下路由器产品。全讯汇聚网络科技（北京）有限公司爱快流控路由器存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	全讯汇聚网络科技（北京）有限公司爱快流控路由器 2.5.10

Number	CNVD-2024-46181
Title	全讯汇聚网络科技（北京）有限公司爱快流控路由器存在信息泄露漏洞
Serverity	中
Submit Time	2024-10-21
Open Time	2024-12-05
Reference Link	nan
Formal Way	3.0版本固件，已修复此漏洞，建议用户下载使用：https://www.ikuai8.com/
Description	爱快流控路由器是全讯汇聚网络科技（北京）有限公司旗下路由器产品。全讯汇聚网络科技（北京）有限公司爱快流控路由器存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	全讯汇聚网络科技（北京）有限公司爱快流控路由器 2.5.10

Number	CNVD-2024-47305
Title	北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞
Serverity	高
Submit Time	2024-10-22
Open Time	2024-12-06
Reference Link	nan
Formal Way	厂商已提供漏洞修补方案，建议用户下载使用：https://update.nsfocus.com/update/listCdgDetail/v/cdg820-old https://update.nsfocus.com/update/listCdgDetail/v/new-system5.6.2
Description	电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统，采用实时动态加解密保护技术和实时权限回收机制，提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京亿赛通科技发展有限责任公司电子文档安全管理系统

Number	CNVD-2024-46229
Title	北京网动网络科技股份有限公司网动统一通信平台存在逻辑缺陷漏洞
Serverity	中
Submit Time	2024-10-23
Open Time	2024-12-07
Reference Link	nan
Formal Way	5.0.24.1104版本，已修复此漏洞，建议用户下载使用：http://mcu.iactive.com.cn/acenter/downloads/MCU_ACenter/mcu-acenter20241104.zip
Description	网动统一通信平台是一个基于Web的协作平台，支持即时通信、视频会议/远程培训、VoIP等功能。北京网动网络科技股份有限公司网动统一通信平台存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京网动网络科技股份有限公司网动统一通信平台 5.0.21.1008, 北京网动网络科技股份有限公司网动统一通信平台 5.0.24.1024, 北京网动网络科技股份有限公司网动统一通信平台 5.0.24.1010

Number	CNVD-2024-46952
Title	上海企望信息科技有限公司ERP系统存在弱口令漏洞
Serverity	中
Submit Time	2024-10-24
Open Time	2024-12-08
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：http://www.wantit.com.cn/
Description	上海企望信息科技有限公司是一家专注于为包装印刷行业提供高端智能制造管理解决方案的公司。上海企望信息科技有限公司ERP系统存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	上海企望信息科技有限公司 ERP系统

Number	CNVD-2024-46726
Title	Rockwell Automation ThinManager拒绝服务漏洞
Serverity	高
Submit Time	2024-10-30
Open Time	2024-12-02
Reference Link	https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1708.html
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1708.html
Description	Rockwell Automation ThinManager是美国罗克韦尔（Rockwell Automation）公司的一款瘦客户端管理软件。允许将瘦客户端同时分配给多个远程桌面服务器。Rockwell Automation ThinManager存在拒绝服务漏洞，具有网络访问权限的攻击者可利用该漏洞向设备发送特制的消息，导致拒绝服务。
CVEs	CVE-2024-10387
CVE URLs	nan
Products	Rockwell Automation Rockwell Automation ThinManager >=11.2.0，<=11.2.9, Rockwell Automation Rockwell Automation ThinManager >=12.0.0，<=12.0.7, Rockwell Automation Rockwell Automation ThinManager >=12.1.0，<=12.1.8, Rockwell Automation Rockwell Automation ThinManager >=13.0.0，<=13.0.5, Rockwell Automation Rockwell Automation ThinManager >=13.1.0，<=13.1.3, Rockwell Automation Rockwell Automation ThinManager >=13.2.0，<=13.2.2, Rockwell Automation Rockwell Automation ThinManager 14.0.0

Number	CNVD-2024-46725
Title	Rockwell Automation ThinManager身份验证错误漏洞
Serverity	高
Submit Time	2024-10-30
Open Time	2024-12-02
Reference Link	https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1708.html
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1708.html
Description	Rockwell Automation ThinManager是美国罗克韦尔（Rockwell Automation）公司的一款瘦客户端管理软件。允许将瘦客户端同时分配给多个远程桌面服务器。Rockwell Automation ThinManager存在身份验证错误漏洞，具有网络访问权限的攻击者可利用该漏洞向设备发送精心制作的消息，导致数据库操纵。
CVEs	CVE-2024-10386
CVE URLs	nan
Products	Rockwell Automation Rockwell Automation ThinManager >=11.2.0，<=11.2.9, Rockwell Automation Rockwell Automation ThinManager >=12.0.0，<=12.0.7, Rockwell Automation Rockwell Automation ThinManager >=12.1.0，<=12.1.8, Rockwell Automation Rockwell Automation ThinManager >=13.0.0，<=13.0.5, Rockwell Automation Rockwell Automation ThinManager >=13.1.0，<=13.1.3, Rockwell Automation Rockwell Automation ThinManager >=13.2.0，<=13.2.2, Rockwell Automation Rockwell Automation ThinManager 14.0.0

Number	CNVD-2024-46814
Title	IBM CICS TX Standard Web UI跨站脚本漏洞
Serverity	中
Submit Time	2024-11-04
Open Time	2024-12-03
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-41745
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7174576
Description	IBM CICS TX Standard是美国国际商业机器（IBM）公司的一个综合的单一事务运行时包。可以为独立应用程序提供云原生部署模型。IBM CICS TX Standard 11.1版本存在跨站脚本漏洞，该漏洞源于容易受到跨站脚本攻击，未认证的攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码，造成受信任会话中的凭据泄露。
CVEs	CVE-2024-41745
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41745
Products	IBM CICS TX Standard 11.1

Number	CNVD-2024-46813
Title	IBM CICS TX Standard Web UI跨站请求伪造漏洞
Serverity	高
Submit Time	2024-11-04
Open Time	2024-12-03
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-41744
Formal Way	厂商已提供漏洞修复方案，请关注厂商主页更新：https://www.ibm.com/support/pages/node/7174576
Description	IBM CICS TX Standard是美国国际商业机器(IBM)公司的一个综合的单一事务运行时包,可以为独立应用程序提供云原生部署模型。IBM CICS TX Standard Web UI存在跨站请求伪造漏洞，远程攻击者可以利用该漏洞构建恶意URI，诱使请求，可以目标用户上下文执行恶意操作。
CVEs	CVE-2024-41744
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41744
Products	IBM CICS TX Standard 11.1

Number	CNVD-2024-46808
Title	MonoCMS跨站脚本漏洞
Serverity	中
Submit Time	2024-11-11
Open Time	2024-12-04
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-10928
Formal Way	厂商尚未发布漏洞修复程序，请及时关注更新：https://monocms.com
Description	MonoCMS是一个免费的开源内容管理系统。MonoCMS /monofiles/opensaved.php处理filtcategory参数存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。
CVEs	CVE-2024-10928
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-10928
Products	MonoCMS MonoCMS <20240528

Number	CNVD-2024-47285
Title	Google Android权限提升漏洞（CNVD-2024-47285）
Serverity	中
Submit Time	2024-11-15
Open Time	2024-12-05
Reference Link	https://android.googlesource.com/platform/packages/modules/Permission/+/ffd81f212b5594b498f0ba07645c7a181540e494
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞，攻击者利用该漏洞可以提升权限。
CVEs	CVE-2024-40661
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-40661
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14

Number	CNVD-2024-47284
Title	Google Android权限提升漏洞（CNVD-2024-47284）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-05
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-31337
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞，攻击者利用该漏洞可以提升权限。
CVEs	CVE-2024-31337
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-31337
Products	Google Android

Number	CNVD-2024-46797
Title	IBM Security SOAR授权问题漏洞
Serverity	高
Submit Time	2024-11-19
Open Time	2024-12-05
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-45670
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7172206
Description	IBM Security SOAR是美国国际商业机器（IBM）公司的一款产品，前身为Resilient。旨在帮助您的安全团队自信地应对网络威胁、通过智能实现自动化并通过一致性进行协作。IBM Security SOAR存在授权问题漏洞，该漏洞源于有一种机制可以在不知道原始密码的情况下重置密码。攻击者可利用该漏洞绕过Web身份验证并获得设备的管理访问权限。
CVEs	CVE-2024-45670
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-45670
Products	IBM Security SOAR <=51.0.1.0

Number	CNVD-2024-47283
Title	TP-Link vn020-f3vt存在缓冲区溢出漏洞
Serverity	高
Submit Time	2024-11-21
Open Time	2024-12-05
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-11237
Formal Way	目前没有详细的解决方案提供：https://github.com/Zephkek/TP-Thumper/blob/main/poc.c
Description	TP-LINK vn020-f3vt是中国普联（TP-LINK）公司的一款无线调制解调器。TP-Link vn020-f3vt存在缓冲区溢出漏洞，该漏洞源于对参数hostname的错误操作会导致基于堆栈的缓冲区溢出。该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。
CVEs	CVE-2024-11237
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-11237
Products	TP-LINK vn020-f3vt tt_v6.2.1021

Number	CNVD-2024-46796
Title	IBM Concert访问控制错误漏洞
Serverity	中
Submit Time	2024-11-21
Open Time	2024-12-05
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-52359
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7176346
Description	IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。IBM Concert 1.0.3之前版本存在访问控制错误漏洞，该漏洞源于访问控制不当，攻击者可利用该漏洞执行未经授权的操作。
CVEs	CVE-2024-52359
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-52359
Products	IBM IBM Concert <1.0.3

Number	CNVD-2024-46795
Title	IBM Concert SQL注入漏洞
Serverity	高
Submit Time	2024-11-21
Open Time	2024-12-05
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-52360
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7176346
Description	IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式AI来帮助管理复杂的云原生应用程序。IBM Concert存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。远程攻击者可利用该漏洞可以发送特制的SQL语句，从而查看、添加、修改或删除后端数据库中的信息。
CVEs	CVE-2024-52360
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-52360
Products	IBM IBM Concert <1.0.3

Number	CNVD-2024-46794
Title	IBM Concert 跨站脚本漏洞（CNVD-2024-46794）
Serverity	中
Submit Time	2024-11-21
Open Time	2024-12-05
Reference Link	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-41785
Formal Way	目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://www.ibm.com/support/pages/node/7173596
Description	IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式 AI 来帮助管理复杂的云原生应用程序。IBM Concert存在跨站脚本漏洞，该漏洞源于允许未经身份验证的攻击者在Web UI中嵌入任意JavaScript代码，从而改变预期功能，导致受信任会话中的凭据泄露。攻击者可以利用该漏洞造成跨站脚本。
CVEs	CVE-2024-41785
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41785
Products	IBM Concert >=1.0.0， <=1.0.1

Number	CNVD-2024-46793
Title	IBM Concert加密问题漏洞
Serverity	中
Submit Time	2024-11-21
Open Time	2024-12-05
Reference Link	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-43189
Formal Way	目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://www.ibm.com/support/pages/node/7173596
Description	IBM Concert是美国国际商业机器（IBM）公司的一种新工具。使用生成式 AI 来帮助管理复杂的云原生应用程序。IBM Concert存在加密问题漏洞，该漏洞源于未正确启用HTTP严格传输安全，远程攻击者可以利用该漏洞获取敏感信息。
CVEs	CVE-2024-43189
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43189
Products	IBM Concert >=1.0.0， <=1.0.1

Number	CNVD-2024-47462
Title	FFmpeg parse_options整数溢出漏洞
Serverity	高
Submit Time	2024-12-03
Open Time	2024-12-06
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-35366
Formal Way	用户可参考如下厂商提供的安全补丁以修复该漏洞：https://github.com/FFmpeg/FFmpeg/blob/n6.1.1/libavformat/sbgdec.c#L389
Description	FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。FFmpeg parse_options存在整数溢出漏洞，攻击者可利用漏洞提交特殊的文件，诱使用户解析，可使应用程序崩溃。
CVEs	CVE-2024-35366
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-35366
Products	FFmpeg FFmpeg n6.1.1

Number	CNVD-2024-47461
Title	FFmpeg CAF解码器整数溢出漏洞
Serverity	中
Submit Time	2024-12-03
Open Time	2024-12-06
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-36617
Formal Way	用户可参考如下厂商提供的安全补丁以修复该漏洞：https://github.com/FFmpeg/FFmpeg/blob/n6.1.1/libavformat/cafdec.c#L274
Description	FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。FFmpeg CAF解码器存在整数溢出漏洞，攻击者可利用该漏洞提交特殊的文件，诱使用户解析，可使应用程序崩溃。
CVEs	CVE-2024-36617
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-36617
Products	FFmpeg FFmpeg n6.1.1

Number	CNVD-2024-48102
Title	Tenda AC10 formSetDeviceName函数堆栈溢出漏洞
Serverity	高
Submit Time	2022-10-19
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2022-42165
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://tenda.com.cn/default.html
Description	Tenda AC10是一款无线路由器。Tenda AC10 formSetDeviceName函数存在堆栈溢出漏洞，攻击者可利用该漏洞使缓冲区溢出，并在系统上执行任意代码或导致拒绝服务。
CVEs	CVE-2022-42165
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2022-42165
Products	Tenda AC10 V15.03.06.23

Number	CNVD-2024-23631
Title	正方软件股份有限公司正方服务管理平台存在逻辑缺陷漏洞
Serverity	中
Submit Time	2024-04-19
Open Time	2024-12-10
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.zfsoft.com
Description	正方软件股份有限公司（以下简称“正方公司”）成立于1999年1月，是一家专业从事高校教育信息化领域咨询、规划、建设和服务的软件企业和高新技术企业。正方软件股份有限公司正方服务管理平台存在逻辑缺陷漏洞，攻击者可利用该漏洞重置用户密码。
CVEs	nan
CVE URLs	nan
Products	正方软件股份有限公司正方服务管理平台

Number	CNVD-2024-48100
Title	Moodle跨站脚本漏洞（CNVD-2024-48100）
Serverity	中
Submit Time	2024-06-28
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-34312
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://github.com/vincentscode/CVE-2024-34312
Description	Moodle是一套免费、开源的电子学习软件平台，也称课程管理系统、学习管理系统或虚拟学习环境。Moodle存在跨站脚本漏洞，该漏洞源于vplide.js文件对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
CVEs	CVE-2024-34312
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-34312
Products	moodle Moodle <=v4.2.3

Number	CNVD-2024-38707
Title	新天科技股份有限公司智慧水务营业收费系统存在SQL注入漏洞（CNVD-2024-38707）
Serverity	高
Submit Time	2024-08-20
Open Time	2024-12-10
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.suntront.com/
Description	新天科技股份有限公司是一家以从事仪器仪表制造业为主的企业。新天科技股份有限公司智慧水务营业收费系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	新天科技股份有限公司智慧水务营业收费系统

Number	CNVD-2024-41275
Title	用友网络科技股份有限公司用友U8CRM存在逻辑缺陷漏洞（CNVD-2024-41275）
Serverity	中
Submit Time	2024-09-16
Open Time	2024-12-10
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://security.yonyou.com/#/noticeInfo?id=456
Description	用友U8CRM是一款专业的企业级CRM软件。用友网络科技股份有限公司用友U8CRM存在逻辑缺陷漏洞，攻击者可利用该漏洞登陆后台获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	用友网络科技股份有限公司用友U8CRM

Number	CNVD-2024-46126
Title	中科方德软件有限公司方德桌面操作系统存在权限提升漏洞
Serverity	高
Submit Time	2024-10-14
Open Time	2024-12-10
Reference Link	nan
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://repos.os.nfschina.com/deb/nfs/tiger-security/pool/main/c/cdos-update-daemon/cdos-update-daemon_1.7.12-m21+1nfs5_amd64.deb
Description	中科方德软件有限公司是一家深耕操作系统领域20余年的国产操作系统厂商。中科方德软件有限公司方德桌面操作系统存在权限提升漏洞，攻击者可利用该漏洞获取服务器控制权。
CVEs	nan
CVE URLs	nan
Products	中科方德软件有限公司方德桌面操作系统 5.0

Number	CNVD-2024-47716
Title	Apache Roller跨站请求伪造漏洞（CNVD-2024-47716）
Serverity	中
Submit Time	2024-10-17
Open Time	2024-12-11
Reference Link	https://lists.apache.org/thread/6m0ghjo9j92qty00t2qb6qf2spds0p5t
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/6m0ghjo9j92qty00t2qb6qf2spds0p5t
Description	Apache Roller是美国阿帕奇（Apache）基金会的一套基于Java的多用户开源博客系统。Apache Roller 6.1.4之前版本存在跨站请求伪造漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-46911
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-46911
Products	Apache Apache Roller <6.1.4

Number	CNVD-2024-47141
Title	北京天融信科技有限公司上网行为管理系统存在命令执行漏洞
Serverity	高
Submit Time	2024-10-28
Open Time	2024-12-12
Reference Link	nan
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：http://www.topsec.com.cn/
Description	上网行为管理系统是一款为满足各行各业进行网络行为管理和内容审计的专业产品。北京天融信科技有限公司上网行为管理系统存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。
CVEs	nan
CVE URLs	nan
Products	北京天融信科技有限公司上网行为管理系统

Number	CNVD-2024-47147
Title	畅捷通信息技术股份有限公司畅捷通T+存在SQL注入漏洞
Serverity	高
Submit Time	2024-10-28
Open Time	2024-12-12
Reference Link	nan
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.chanjetvip.com/product/goods/
Description	畅捷通T+是一款基于互联网的新型企业管理软件。畅捷通信息技术股份有限公司畅捷通T+存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	畅捷通信息技术股份有限公司畅捷通T+

Number	CNVD-2024-47342
Title	北京亚控科技发展有限公司KingPortal开发系统客户端存在任意文件读取漏洞
Serverity	中
Submit Time	2024-10-30
Open Time	2024-12-14
Reference Link	nan
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：http://www.kingview.com/news_info.php?num=1002815
Description	北京亚控科技发展有限公司是一家自动化软件平台高科技企业。北京亚控科技发展有限公司KingPortal开发系统客户端存在任意文件读取漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京亚控科技发展有限公司 KingPortal开发系统客户端

Number	CNVD-2024-47177
Title	贵州小码科技有限公司jpress存在文件上传漏洞
Serverity	中
Submit Time	2024-10-31
Open Time	2024-12-15
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.jpress.cn/
Description	jpress是一个完整的Java CMS网站管理系统。贵州小码科技有限公司jpress存在文件上传漏洞，攻击者可利用该漏洞通过上传文件，获取用户cookie等敏感信息。
CVEs	nan
CVE URLs	nan
Products	贵州小码科技有限公司 Jpress 5.1.2

Number	CNVD-2024-47522
Title	IBM Maximo Application Suite跨站脚本漏洞
Serverity	中
Submit Time	2024-11-13
Open Time	2024-12-10
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-35146
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7174946
Description	IBM Maximo Application Suite是美国国际商业机器（IBM）公司的一个为智能资产管理、监控、维护、计算机视觉、安全性和可靠性提供的单一平台。IBM Maximo Application Suite存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码，从而改变预期功能，可能导致受信任会话中的凭据泄露。
CVEs	CVE-2024-35146
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-35146
Products	IBM IBM Maximo Application Suite 8.10.11, IBM IBM Maximo Application Suite 8.11.8, IBM IBM Maximo Application Suite 9.0.0

Number	CNVD-2024-47707
Title	Google Android权限提升漏洞（CNVD-2024-47707）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/frameworks/base/+/2457d4e459ee6ffd099b9ff7cce9c83119c3ce66
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-43085
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43085
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47706
Title	Google Android代码执行漏洞（CNVD-2024-47706）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/external/skia/+/0b628a960e74197ace9831ef0727f5ba7ab6ac10
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2024-43091
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43091
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47705
Title	Google Android权限提升漏洞（CNVD-2024-47705）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/frameworks/base/+/31c098c4271ad4fdfb3809e05017ead8d9f6580f
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-43081
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43081
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47704
Title	Google Android信息泄露漏洞（CNVD-2024-47704）
Serverity	中
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/frameworks/base/+/6aa1b4fbf5936a1ff5bdbb79397c94910a6ed8f5
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	CVE-2024-43082
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43082
Products	Google Android <12, Google Android <12L

Number	CNVD-2024-47703
Title	Google Android拒绝服务漏洞（CNVD-2024-47703）
Serverity	中
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/packages/modules/Wifi/+/62f61e19524e9a55cadd1116c9448ff34b977e50
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在拒绝服务漏洞，攻击者可利用该漏洞导致系统拒绝服务。
CVEs	CVE-2024-43083
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43083
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47702
Title	Google Android权限提升漏洞（CNVD-2024-47702）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://source.android.com/security/bulletin/2024-11-01
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-23715
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-23715
Products	Google Android

Number	CNVD-2024-47701
Title	Google Android权限提升漏洞（CNVD-2024-47701）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/frameworks/native/+/064ce6e3235b6318be1e41f1bac9595a98e4aafa
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-40660
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-40660
Products	Google Android <14, Google Android <15

Number	CNVD-2024-47700
Title	Google Android权限提升漏洞（CNVD-2024-47700）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://android.googlesource.com/platform/packages/apps/Settings/+/6253b87704bb097ad9963941bdddf3b86906a73e
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-43087
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43087
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47699
Title	Google Android权限提升漏洞（CNVD-2024-47699）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-11
Reference Link	https://android.googlesource.com/platform/packages/modules/Bluetooth/+/b0e4375577ba7e21bd40edac5990bea418ecdc8c
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-34719
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-34719
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14

Number	CNVD-2024-47698
Title	Google Android权限提升漏洞（CNVD-2024-47698）
Serverity	高
Submit Time	2024-11-15
Open Time	2024-12-11
Reference Link	https://android.googlesource.com/platform/packages/apps/Settings/+/26ce013dfd7e59a451acc66e7f05564e0884d46b
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://source.android.com/security/bulletin/2024-11-01
Description	Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-43080
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43080
Products	Google Android <12, Google Android <12L, Google Android <13, Google Android <14, Google Android <15

Number	CNVD-2024-47521
Title	IBM Security ReaQta跨站脚本漏洞
Serverity	中
Submit Time	2024-11-15
Open Time	2024-12-10
Reference Link	https://www.ibm.com/support/pages/node/7172212
Formal Way	厂商已提供漏洞修复方案，请关注厂商主页更新：https://www.ibm.com/
Description	ReaQta是一款由IBM Security提供的高级终端安全平台，它利用人工智能和机器学习技术来识别、管理和自动响应网络安全威胁。Security ReaQta中存在跨站脚本漏洞，该漏洞源于平台中未对用户输入的内容进行过滤验证和输出输转义。攻击者可以利用该漏洞在漏洞页面注入任意Web脚本。
CVEs	CVE-2024-45099
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-45099
Products	IBM Security ReaQta 3.12

Number	CNVD-2024-47715
Title	Apache HertzBeat信息泄露漏洞
Serverity	高
Submit Time	2024-11-21
Open Time	2024-12-11
Reference Link	https://lists.apache.org/thread/jmbsfjsvrfnvosh1ftrm3ry4j3sb7doz
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/jmbsfjsvrfnvosh1ftrm3ry4j3sb7doz
Description	Apache HertzBeat是美国阿帕奇（Apache）公司的一个可以监控各种组件的工具。Apache HertzBeat 1.6.1之前版本存在信息泄露漏洞，攻击者可利用该漏洞获取敏感的令牌信息。
CVEs	CVE-2024-45791
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-45791
Products	Apache HertzBeat <1.6.1

Number	CNVD-2024-47714
Title	Apache HertzBeat命令注入漏洞
Serverity	高
Submit Time	2024-11-21
Open Time	2024-12-11
Reference Link	https://lists.apache.org/thread/h8k14o1bfyod66p113pkgnt1s52p6p19
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/gvbc68krhqhht7mkkkx7k13k6k6fdhy0
Description	Apache HertzBeat是美国阿帕奇（Apache）公司的一个可以监控各种组件的工具。Apache HertzBeat 1.6.1之前版本存在命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等，攻击者可利用该漏洞在系统上执行任意命令。
CVEs	CVE-2024-45505
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-45505
Products	Apache HertzBeat <1.6.1

Number	CNVD-2024-47713
Title	Apache HertzBeat反序列化漏洞（CNVD-2024-47713）
Serverity	高
Submit Time	2024-11-21
Open Time	2024-12-11
Reference Link	https://lists.apache.org/thread/p33tg0vo5nh6kscth4262ktsqo3h5lqo
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/oor9nw6nh2ojnfw8d8oxrv40cbtk5mwj
Description	Apache HertzBeat是美国阿帕奇（Apache）公司的一个可以监控各种组件的工具。Apache HertzBeat 1.6.1之前版本存在反序列化漏洞，攻击者可利用该漏洞导致代码执行。
CVEs	CVE-2024-41151
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41151
Products	Apache HertzBeat <1.6.1

Number	CNVD-2024-47520
Title	IBM Security Verify Access Appliance操作系统命令注入漏洞
Serverity	高
Submit Time	2024-12-03
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-49803
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7177447
Description	IBM Security Verify AccessAppliance是基于网络设备的安全解决方案,提供基于 Web 的威胁的访问控制和保护。IBM Security Verify Access Appliance存在安全漏洞，远程攻击者可以利用该漏洞提交特殊的请求，可以应用程序上下文执行任意代码。
CVEs	CVE-2024-49803
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49803
Products	IBM Security Verify Access Appliance 10.0.8

Number	CNVD-2024-48101
Title	FreePBX文件上传漏洞
Serverity	高
Submit Time	2024-12-04
Open Time	2024-12-13
Reference Link	https://gist.github.com/hyp164D1/490732de230edf97423f6d95b0d2f903
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://gist.github.com/hyp164D1/490732de230edf97423f6d95b0d2f903
Description	FreePBX（前称Asterisk Management Portal）是FreePBX项目的一套通过GUI（基于网页的图形化接口）配置Asterisk（IP电话系统）的工具。FreePBX存在文件上传漏洞。该漏洞源于应用对上传的文件缺少有效的验证。攻击者可利用该漏洞通过上传特制的文件来执行任意代码。
CVEs	CVE-2024-53564
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-53564
Products	FreePBX FreePBX v17.0.19.17

Number	CNVD-2024-47519
Title	IBM Jazz Foundation访问控制错误漏洞
Serverity	中
Submit Time	2024-12-04
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2023-26280
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7176207
Description	IBM Jazz Foundation是美国国际商业机器（IBM）公司的一个面向软件交付技术的下一代协作平台。IBM Jazz Foundation 7.0.2版本和7.0.3版本存在访问控制错误漏洞，该漏洞源于访问控制不当，攻击者可利用该漏洞使用特制的HTTP请求更改其仪表板。
CVEs	CVE-2023-26280
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2023-26280
Products	IBM IBM Jazz Foundation 7.0.2, IBM IBM Jazz Foundation 7.0.3

Number	CNVD-2024-47518
Title	IBM Cloud Pak for Data资源管理错误漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-49353
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7177065
Description	IBM Cloud Pak for Data是美国国际商业机器（IBM）公司的一种云原生解决方案，可以让客户快速高效地使用数据和分析数据。IBM Cloud Pak for Data 4.0.0版本到5.0.2版本存在资源管理错误漏洞，该漏洞源于未正确检查同时使用的资源的输入，攻击者可利用该漏洞可能会导致意外状态，甚至导致崩溃。
CVEs	CVE-2024-49353
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49353
Products	IBM IBM Cloud Pak for Data >=4.0.0，<=5.0.2

Number	CNVD-2024-47712
Title	Apache NimBLE越界读取漏洞（CNVD-2024-47712）
Serverity	中
Submit Time	2024-12-06
Open Time	2024-12-11
Reference Link	http://www.openwall.com/lists/oss-security/2024/11/26/4
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/zdb50spojlqbn0yxd866mbzqjt2vpt85
Description	Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙5.4堆栈（主机和控制器），完全取代Nordic芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。Apache NimBLE存在越界读取漏洞，攻击者可利用该漏洞在解析HCI事件时导致越界访问。
CVEs	CVE-2024-47250
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-47250
Products	Apache NimBLE 1.7.0

Number	CNVD-2024-47711
Title	Apache NimBLE缓冲区溢出漏洞
Serverity	中
Submit Time	2024-12-06
Open Time	2024-12-11
Reference Link	http://www.openwall.com/lists/oss-security/2024/11/26/2
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/z8m7jqh54xybf9kz8q2l3tz92zsj7tmz
Description	Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙5.4堆栈（主机和控制器），完全取代Nordic芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。Apache NimBLE存在缓冲区溢出漏洞，攻击者可利用该漏洞通过特制的MESH消息导致内存损坏。
CVEs	CVE-2024-47248
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-47248
Products	Apache NimBLE 1.7.0

Number	CNVD-2024-47710
Title	Apache NimBLE越界读取漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-11
Reference Link	http://www.openwall.com/lists/oss-security/2024/11/26/5
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/q0vs5rddx1lho30xnpsrvpzgxqmywnhs
Description	Apache NimBLE是美国阿帕奇（Apache）基金会的一个开源蓝牙5.4堆栈（主机和控制器），完全取代Nordic芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。Apache NimBLE存在越界读取漏洞，攻击者可利用该漏洞从HCI传输内存中读取无效数据。
CVEs	CVE-2024-51569
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-51569
Products	Apache NimBLE 1.7.0

Number	CNVD-2024-48103
Title	Tenda i9拒绝服务漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-11650
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://github.com/xiaobor123/tenda-vul-i9
Description	Tenda i9是中国腾达（Tenda）公司的一种可以在天花板上安装的无线接入点。Tenda i9存在拒绝服务漏洞，该漏洞源于文件/goform/GetIPTV的websReadEvent函数存在空指针取消引用。攻击者可利用该漏洞导致拒绝服务。
CVEs	CVE-2024-11650
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-11650
Products	Tenda i9 1.0.0.8(3828)

Number	CNVD-2024-47517
Title	IBM Cognos Controller信任管理问题漏洞（CNVD-2024-47517）
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-41777
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7177220
Description	IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Cognos Controller 11.0.0版本和11.0.1版本存在信任管理问题漏洞，该漏洞源于存在硬编码凭证，攻击者可利用该漏洞导致凭证泄露并被恶意利用。
CVEs	CVE-2024-41777
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41777
Products	IBM IBM Cognos Controller 11.0.0, IBM IBM Cognos Controller 11.0.1

Number	CNVD-2024-47516
Title	IBM Cognos Controller跨站请求伪造漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-41776
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7177220
Description	IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Cognos Controller存在跨站请求伪造漏洞，该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
CVEs	CVE-2024-41776
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41776
Products	IBM IBM Cognos Controller 11.0.0, IBM IBM Cognos Controller 11.0.1

Number	CNVD-2024-47515
Title	IBM Cognos Controller加密问题漏洞（CNVD-2024-47515）
Serverity	中
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-41775
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.ibm.com/support/pages/node/7177220
Description	IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Cognos Controller 11.0.1版本和11.0.0版本存在加密问题漏洞，该漏洞源于使用弱于预期的加密算法，攻击者可利用该漏洞解密高度敏感的信息。
CVEs	CVE-2024-41775
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-41775
Products	IBM IBM Cognos Controller 11.0.0, IBM IBM Cognos Controller 11.0.1

Number	CNVD-2024-47709
Title	Apache Ozone身份验证错误漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-11
Reference Link	http://www.openwall.com/lists/oss-security/2024/12/02/1
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://lists.apache.org/thread/rylnxwttp004kvotpk9j158vb238pfkm
Description	Apache Ozone是美国阿帕奇（Apache）基金会的一个应用软件。一个面向Hadoop和云原生环境的可伸缩，冗余和分布式对象存储。Apache Ozone 1.4.0版本存在身份验证错误漏洞，该漏洞源于S3网关中HTTP端点的身份验证错误，攻击者可利用该漏洞撤销和重新生成任何其他用户的S3机密。
CVEs	CVE-2024-45106
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-45106
Products	Apache Apache Ozone 1.4.0

Number	CNVD-2024-47514
Title	IBM App Connect Enterprise操作系统命令注入漏洞
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-13
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-51465
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新: https://www.ibm.com/support/pages/node/7177814
Description	IBM App Connect Enterprise是IBM公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合，提供一个可满足现代数字企业全面集成需求的平台。IBM App Connect Enterprise Certified Container存在操作系统命令注入漏洞。该漏洞是由于受影响版本未能正确地中和或错误地中和用户可控输入，导致攻击者可以注入恶意脚本或代码。攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。
CVEs	CVE-2024-51465
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-51465
Products	IBM IBM App Connect Enterprise Certified Container 11.4, IBM IBM App Connect Enterprise Certified Container 11.5, IBM IBM App Connect Enterprise Certified Container 11.6, IBM IBM App Connect Enterprise Certified Container 12.1, IBM IBM App Connect Enterprise Certified Container 12.0, IBM IBM App Connect Enterprise Certified Container 12.2, IBM IBM App Connect Enterprise Certified Container 12.3

Number	CNVD-2024-47708
Title	WordPress插件WP Umbrella: Update Backup Restore & Monitoring本地文件包含漏洞
Serverity	高
Submit Time	2024-12-11
Open Time	2024-12-12
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-12209
Formal Way	厂商已提供漏洞修补方案，请关注厂商主页及时更新：https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wp-health/wp-umbrella-update-backup-restore-monitoring-2170-unauthenticated-local-file-inclusion
Description	WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress插件WP Umbrella: Update Backup Restore & Monitoring存在本地文件包含漏洞，攻击者可利用该漏洞在服务器上包含和执行任意文件，从而允许执行这些文件中的任何PHP代码。
CVEs	CVE-2024-12209
CVE URLs	nan
Products	WordPress WP Umbrella: Update Backup Restore & Monitoring <2.17.0

Number	CNVD-2024-47916
Title	Apache Struts文件上传漏洞
Serverity	高
Submit Time	2024-12-12
Open Time	2024-12-12
Reference Link	https://cwiki.apache.org/confluence/display/WW/S2-067
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://github.com/apache/struts/releases
Description	Apache Struts是美国阿帕奇（Apache）基金会的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。Apache Struts存在文件上传漏洞，攻击者可利用该漏洞上传恶意文件，导致远程执行代码。
CVEs	CVE-2024-53677
CVE URLs	nan
Products	Apache struts >=2.0.0，<=2.3.37（EOL）, Apache struts >=2.5.0，<=2.5.33, Apache struts >=6.0.0，<=6.3.0.2

Number	CNVD-2024-48762
Title	TOTOLINK X5000R和A7000R缓冲区溢出漏洞
Serverity	高
Submit Time	2023-10-19
Open Time	2024-12-20
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2023-36950
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://www.totolink.net/
Description	TOTOLINK X5000R是一个路由器。TOTOLINK A7000R是一款无线路由器。TOTOLINK X5000R和A7000R存在缓冲区溢出漏洞，该漏洞源于函数loginAuth中的http_host参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。
CVEs	CVE-2023-36950
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2023-36950
Products	TOTOLINK X5000R <=V9.1.0u.6118_B20201102, TOTOLINK A7000R <=V9.1.0u.6115_B20201022

Number	CNVD-2024-48756
Title	Microsoft SharePoint代码执行漏洞（CNVD-2024-48756）
Serverity	高
Submit Time	2023-11-16
Open Time	2024-12-20
Reference Link	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38177
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38177
Description	Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2023-38177
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2023-38177
Products	Microsoft SharePoint Enterprise Server 2016 , Microsoft SharePoint Server 2019 , Microsoft SharePoint Server Subscription Edition

Number	CNVD-2024-48760
Title	libming内存泄露漏洞（CNVD-2024-48760）
Serverity	高
Submit Time	2024-03-06
Open Time	2024-12-20
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-24148
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://github.com/libming/libming/issues/308
Description	libming是一款使用C语言编写的Flash（SWF）输出库。libming存在内存泄露漏洞，该漏洞源于parseSWF_FREECHARACTER功能未释放或无法释放已动态分配的堆内存，攻击者可利用该漏洞导致拒绝服务。
CVEs	CVE-2024-24148
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-24148
Products	libming libming v0.4.8

Number	CNVD-2024-48761
Title	Bento4内存泄露漏洞
Serverity	高
Submit Time	2024-03-06
Open Time	2024-12-20
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-24155
Formal Way	厂商尚未提供漏洞修复方案，请关注厂商主页更新：https://github.com/axiomatic-systems/Bento4/issues/919
Description	Bento4是一款用于读写MP4文件的开源的C++库。Bento4存在内存泄露漏洞，该漏洞源于AP4_Movie:：AP4_Movie未释放或无法释放已动态分配的堆内存，攻击者可利用该漏洞导致拒绝服务。
CVEs	CVE-2024-24155
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-24155
Products	Bento4 Bento4 v1.5.1-628

Number	CNVD-2024-48758
Title	Microsoft Visual Studio Code extension for Arduino远程代码执行漏洞
Serverity	高
Submit Time	2024-10-17
Open Time	2024-12-20
Reference Link	https://cxsecurity.com/cveshow/CVE-2024-43488/
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43488
Description	Microsoft Visual Studio Code是美国微软（Microsoft）公司的一款开源的代码编辑器。Microsoft Visual Studio Code extension for Arduino存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2024-43488
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-43488
Products	Microsoft Visual Studio Code

Number	CNVD-2024-48385
Title	Google Chrome代码执行漏洞（CNVD-2024-48385）
Serverity	高
Submit Time	2024-10-25
Open Time	2024-12-18
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2023-49242
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_22.html
Description	Google Chrome是美国谷歌（Google）公司的一款Web浏览器。V8是其中的一套开源JavaScript引擎。Google Chrome存在代码执行漏洞，该漏洞是由V8中的类型混淆引起的。攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2024-10231
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-10231
Products	Google Chrome <130.0.6723.69

Number	CNVD-2024-48384
Title	Google Chrome安全绕过漏洞（CNVD-2024-48384）
Serverity	高
Submit Time	2024-10-25
Open Time	2024-12-18
Reference Link	https://www.cisa.gov/news-events/ics-advisories/icsa-24-291-05
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://chromereleases.googleblog.com/2024/10/stable-channel-update-for-desktop_22.html
Description	Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在安全绕过漏洞，攻击者可利用该漏洞绕过安全限制。
CVEs	CVE-2024-10229
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-10229
Products	Google Chrome <130.0.6723.69

Number	CNVD-2024-48022
Title	浙江大华技术股份有限公司智慧园区综合管理平台存在命令执行漏洞
Serverity	高
Submit Time	2024-11-01
Open Time	2024-12-16
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.dahuatech.com
Description	浙江大华股份有限公司是领先的监控产品供应商和解决方案服务商，面向全球提供领先的视频存储、前端、显示控制和智能交通等系列化产品，并提供提供热成像测温和黑体测温设备。浙江大华技术股份有限公司智慧园区综合管理平台存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。
CVEs	nan
CVE URLs	nan
Products	浙江大华技术股份有限公司智慧园区综合管理平台

Number	CNVD-2024-48030
Title	中科方德软件有限公司方德桌面操作系统存在权限提升漏洞
Serverity	高
Submit Time	2024-11-01
Open Time	2024-12-16
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.nfschina.com/
Description	方德桌面操作系统是国产操作系统，适配海光、兆芯、飞腾、龙芯、申威、鲲鹏等国产CPU，支持x86、ARM、MIPS等主流架构。中科方德软件有限公司方德桌面操作系统存在权限提升漏洞，攻击者可利用该漏洞获取本地root权限。
CVEs	nan
CVE URLs	nan
Products	中科方德软件有限公司方德桌面操作系统 5.0-G230

Number	CNVD-2024-48031
Title	中科方德软件有限公司方德桌面操作系统存在命令执行漏洞
Serverity	高
Submit Time	2024-11-01
Open Time	2024-12-16
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.nfschina.com/
Description	方德桌面操作系统是国产操作系统，适配海光、兆芯、飞腾、龙芯、申威、鲲鹏等国产CPU，支持x86、ARM、MIPS等主流架构。中科方德软件有限公司方德桌面操作系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。
CVEs	nan
CVE URLs	nan
Products	中科方德软件有限公司方德桌面操作系统 5.0-G230

Number	CNVD-2024-48032
Title	中科方德软件有限公司方德桌面操作系统存在命令执行漏洞
Serverity	高
Submit Time	2024-11-01
Open Time	2024-12-16
Reference Link	nan
Formal Way	厂商已发布补丁修复漏洞，请广大用户及时下载更新：https://www.nfschina.com/
Description	方德桌面操作系统是国产操作系统，适配海光、兆芯、飞腾、龙芯、申威、鲲鹏等国产CPU，支持x86、ARM、MIPS等主流架构。中科方德软件有限公司方德桌面操作系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。
CVEs	nan
CVE URLs	nan
Products	中科方德软件有限公司方德桌面操作系统 5.0-G230

Number	CNVD-2024-47756
Title	用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞（CNVD-2024-47756）
Serverity	高
Submit Time	2024-11-03
Open Time	2024-12-18
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：http://www.yonyou.com/
Description	用友U8cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。用友网络科技股份有限公司用友U8Cloud存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	用友网络科技股份有限公司用友U8Cloud

Number	CNVD-2024-47764
Title	浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞
Serverity	高
Submit Time	2024-11-05
Open Time	2024-12-20
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：https://www.dahuatech.com/
Description	浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	浙江大华技术股份有限公司智慧园区综合管理平台

Number	CNVD-2024-47765
Title	用友网络科技股份有限公司U8CRM存在SQL注入漏洞（CNVD-2024-47765）
Serverity	高
Submit Time	2024-11-05
Open Time	2024-12-20
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：http://www.yonyou.com/
Description	U8CRM是用友软件股份有限公司推出的一款客户关系管理（CRM）软件，旨在帮助企业提升客户服务和销售管理效率。用友网络科技股份有限公司U8CRM存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	用友网络科技股份有限公司 U8CRM

Number	CNVD-2024-47767
Title	浙江大华技术股份有限公司DSS系统存在信息泄露漏洞
Serverity	中
Submit Time	2024-11-06
Open Time	2024-12-21
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：https://www.dahuatech.com/
Description	浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司DSS系统存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	nan
CVE URLs	nan
Products	浙江大华技术股份有限公司 DSS系统

Number	CNVD-2024-47773
Title	北京美特软件技术有限公司MetaCRM6客户关系管理系统存在SQL注入漏洞（CNVD-2024-47773）
Serverity	高
Submit Time	2024-11-06
Open Time	2024-12-21
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：http://www.metasoft.com.cn
Description	MetaCRM6客户关系管理系统‌是一个综合的、全面的、以客户为中心的企业管理套件。北京美特软件技术有限公司MetaCRM6客户关系管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京美特软件技术有限公司 MetaCRM6客户关系管理系统

Number	CNVD-2024-47776
Title	北京北大方正电子有限公司方正畅享全媒体新闻生产系统存在SQL注入漏洞（CNVD-2024-47776）
Serverity	高
Submit Time	2024-11-06
Open Time	2024-12-21
Reference Link	nan
Formal Way	厂商已发布漏洞修复程序，请及时关注更新：http://www.founder.com.cn/
Description	方正畅享全媒体新闻生产系统是以内容资产为核心的智能化融合媒体业务平台。北京北大方正电子有限公司方正畅享全媒体新闻生产系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
CVEs	nan
CVE URLs	nan
Products	北京北大方正电子有限公司方正畅享全媒体新闻生产系统

Number	CNVD-2024-48210
Title	FFmpeg存在未明漏洞（CNVD-2024-48210）
Serverity	中
Submit Time	2024-12-06
Open Time	2024-12-16
Reference Link	https://gist.github.com/1047524396/fad68e8251f4e34a1bb838de697d5119
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://github.com/FFmpeg/FFmpeg/releases/tag/n6.1.2
Description	FFmpeg是FFmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。FFmpeg n6.1.1版本存在安全漏洞，攻击者可利用该漏洞导致拒绝服务(DoS)情况。
CVEs	CVE-2024-36619
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-36619
Products	FFmpeg FFmpeg n6.1.1

Number	CNVD-2024-48376
Title	Google Chrome代码执行漏洞（CNVD-2024-48376）
Serverity	高
Submit Time	2024-12-06
Open Time	2024-12-17
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-12053
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://chromereleases.googleblog.com/2024/12/stable-channel-update-for-desktop.html
Description	Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome存在代码执行漏洞，该漏洞是由V8中的类型混淆引起的。攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2024-12053
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-12053
Products	Google Chrome <131.0.6778.108

Number	CNVD-2024-48755
Title	Microsoft SharePoint代码执行漏洞（CNVD-2024-48755）
Serverity	中
Submit Time	2024-12-13
Open Time	2024-12-20
Reference Link	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49070
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49070
Description	Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。
CVEs	CVE-2024-49070
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49070
Products	Microsoft SharePoint Enterprise Server 2016 , Microsoft SharePoint Server 2019 , Microsoft SharePoint Server Subscription Edition

Number	CNVD-2024-48754
Title	Microsoft SharePoint信息泄露漏洞（CNVD-2024-48754）
Serverity	高
Submit Time	2024-12-13
Open Time	2024-12-20
Reference Link	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49064
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49064
Description	Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	CVE-2024-49064
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49064
Products	Microsoft SharePoint Enterprise Server 2016 , Microsoft SharePoint Server 2019 , Microsoft SharePoint Server Subscription Edition

Number	CNVD-2024-48753
Title	Microsoft SharePoint权限提升漏洞（CNVD-2024-48753）
Serverity	高
Submit Time	2024-12-13
Open Time	2024-12-20
Reference Link	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49068
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49068
Description	Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint存在权限提升漏洞，攻击者可利用该漏洞提升权限。
CVEs	CVE-2024-49068
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49068
Products	Microsoft SharePoint Enterprise Server 2016 , Microsoft SharePoint Server 2019 , Microsoft SharePoint Server Subscription Edition

Number	CNVD-2024-48752
Title	Microsoft SharePoint信息泄露漏洞（CNVD-2024-48752）
Serverity	中
Submit Time	2024-12-13
Open Time	2024-12-20
Reference Link	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49062
Formal Way	厂商已发布了漏洞修复程序，请及时关注更新：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-49062
Description	Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft SharePoint存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。
CVEs	CVE-2024-49062
CVE URLs	https://nvd.nist.gov/vuln/detail/CVE-2024-49062
Products	Microsoft SharePoint Enterprise Server 2016 , Microsoft SharePoint Server 2019 , Microsoft SharePoint Server Subscription Edition

Number	CNVD-2024-48575
Title	Apache Tomcat远程代码执行漏洞
Serverity	高
Submit Time	2024-12-19
Open Time	2024-12-19
Reference Link	https://nvd.nist.gov/vuln/detail/CVE-2024-50379
Formal Way	用户可参考如下供应商提供的安全公告获得补丁信息：https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
Description	Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Tomcat中存在远程代码执行漏洞，该漏洞是由于web.xml中开启readonly为false的配置，攻击者可利用该漏洞以条件竞争进行文件上传导致命令执行。
CVEs	CVE-2024-50379
CVE URLs	nan
Products	Apache Tomcat >=11.0.0-M1，<=11.0.1, Apache Tomcat >=10.1.0-M1，<=10.1.33, Apache Tomcat >=9.0.0.M1，<=9.0.97

本文由中山市中龙计算机有限公司[ZSZL]-信息安全研究院[ISRI]-安全服务部[SSD]、长春市安山中龙计算机技术有限公司[ASZL]-信息安全研发中心[ISRDC]-信息安全研发部[ISRDD]撰写，由中山市中龙计算机有限公司[ZSZL]-信息安全研究院[ISRI]-信息安全研究部[ISRD]审核发稿