信息安全漏洞周报【第004期】

点击蓝字关注我们

零零捌信安观察近期注意到，国家信息安全漏洞共享平台（CNVD）及国家信息安全漏洞库（CNNVD）等权威机构发布了最新的安全公告。经过我们团队的分析和筛查，我们收录了以下被认定为风险的安全漏洞信息。

目前，相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施，以确保信息系统的安全和稳定。

收录的漏洞详细信息如下：

1、用友网络科技股份有限公司NC存在SQL注入漏洞

公开时间	2024-12-31	风险等级	高危
漏洞编号	CNVD-2024-49864	漏洞来源	CNVD
漏洞信息
漏洞描述	用友网络科技股份有限公司是亚太本土管理软件、ERP软件、集团管理软件、人力资源管理软件、客户关系管理软件、小型企业管理软件、财政及行政事业单位管理软件、汽车行业管理软件、烟草行业管理软件、内部审计软件及服务提供商，也是中国领先的企业云服务、医疗卫生信息化、管理咨询及管理信息化人才提供商。用友网络科技股份有限公司NC存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。
影响产品	用友网络科技股份有限公司 NC 6.5
解决方案	厂商已发布漏洞修复程序，请及时关注更新： https://www.yonyou.com
参考链接	https://www.cnvd.org.cn/flaw/show/CNVD-2024-49864

2、Dell NetWorker Management Console信任管理问题漏洞

公开时间	2024-12-25	风险等级	高危
漏洞编号	CNVD-2024-49623	漏洞来源	CNVD
漏洞信息
漏洞描述	Dell NetWorker Management Console是美国戴尔（Dell）公司的一款备份和恢复软件。 Dell NetWorker Management Console 19.11版本存在信任管理问题漏洞，该漏洞源于存在加密签名验证不当，攻击者可利用该漏洞导致代码执行。
影响产品	DELL Dell NetWorker Management Console 19.11
解决方案	厂商已发布了漏洞修复程序，请及时关注更新：https://www.dell.com/support/kbdoc/en-us/000255884/dsa-2024-477-security-update-for-dell-networker-runtime-environment-nre-multiple-component-vulnerabilities
参考链接	https://www.cnvd.org.cn/flaw/show/CNVD-2024-49623

3、TP-LINK Archer C7访问控制错误漏洞

公开时间	2024-12-25	风险等级	高危
漏洞编号	CNVD-2024-49646	漏洞来源	CNVD
漏洞信息
漏洞描述	TP-LINK Archer C7是中国普联（TP-LINK）公司的一款无线路由器。 TP-LINK Archer C7 v5版本存在访问控制错误漏洞，该漏洞源于组件l_0_0.xml中的错误访问控制，攻击者可利用该漏洞访问敏感信息。
影响产品	TPLink Archer C7 v5
解决方案	厂商尚未提供漏洞修复方案，请关注厂商主页更新： https://github.com/Crane-c/CVE_Request/blob/main/TP-Link/C7v5/TPLink_ARCHERC7v5_unauthorized_access_vulnerability_first.md
参考链接	https://www.cnvd.org.cn/flaw/show/CNVD-2024-49646