上周关注度较高的产品安全漏洞(20241230-20250105)

一、境外厂商产品漏洞

1、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2024-49627）

SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面，它允许业务用户轻松管理SAP Commerce Cloud中的任何类型的数据。SAP NetWeaver Enterprise Portal存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627

2、Fortinet FortiOS访问控制错误漏洞（CNVD-2024-49648）

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS存在访问控制错误漏洞，该漏洞源于包含一个会话固定问题。攻击者可利用该漏洞通过网络钓鱼SAML身份验证链接执行未经授权的代码或命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49648

3、Dell OpenManage Server Administrator授权问题漏洞

Dell OpenManage Server Administrator（Dell OMSA）是美国戴尔（Dell）公司的一种软件代理。以两种方式提供全面的一对一系统管理解决方案。Dell OpenManage Server Administrator 11.0.1.0及之前版本存在授权问题漏洞，该漏洞源于包含不正确的权限改造，攻击者可利用该漏洞导致未经授权的权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49621

4、Adobe Substance 3D Painter越界写入漏洞（CNVD-2025-00206）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter存在越界写入漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00206

5、SAP Commerce Backoffice跨站脚本漏洞

SAP Commerce Backoffice是一个用于管理和维护电子商务网站的强大工具，允许管理员和运营团队轻松地管理网站内容和配置。SAP Commerce Backoffice存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49628

二、境内厂商产品漏洞

1、用友网络科技股份有限公司YonBIP存在信息泄露漏洞

YonBIP是用友集团倾力打造的数智化商业创新平台，旨在帮助企业实现数智化转型和商业创新。‌用友网络科技股份有限公司YonBIP存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49050

2、青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞（CNVD-2024-49052）

东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49052

3、武汉达梦数据库股份有限公司达梦新云缓存数据库存在二进制漏洞