正文

上周关注度较高的产品安全漏洞(20250224-20250302)

admin
admin V管理员 /0 评论 /5 阅读
0306
文章最后更新时间2025年03月06日,若文章内容或图片失效,请留言反馈!
一、境外厂商产品漏洞

1、Google Android信息泄露漏洞(CNVD-2025-03652)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,该漏洞源于SensorService.cpp文件中SensorService::isDataInjectionEnabled方法缺少边界检查,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03652

2、Google Android权限提升漏洞(CNVD-2025-03644)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于代码中的逻辑错误,攻击者可利用该漏洞导致本地特权升级。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03644

3、Google Android权限提升漏洞(CNVD-2025-03647)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由多个位置的逻辑错误引起的。攻击者可利用该漏洞导致本地特权升级。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03647

4、Siemens Teamcenter重定向漏洞

Teamcenter软件是一个适应性强的现代化产品生命周期管理 (PLM) 系统,它通过数字主线跨越功能孤岛将人员和流程连接起来,以实现创新。Siemens Teamcenter SSO登录服务存在重定向漏洞,攻击者可利用漏洞将合法用户重定向到攻击者选择的 URL,以窃取有效的会话数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03710

5、Adobe InDesign越界写入漏洞

Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe InDesign存在越界写入漏洞,攻击者可利用该漏洞在当前用户的环境中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03639

二、境内厂商产品漏洞

1、用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞

U8 Cloud是用友推出的一款新一代云ERP(企业资源计划)解决方案,主要面向成长型和创新型企业,旨在提供全面的企业级云ERP整体解决方案。用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03905

2、湖南众合百易信息技术有限公司资管云存在SQL注入漏洞

湖南众合百易信息技术有限公司(简称:百易云)成立于2017年是一家专注于不动产领域数字化研发及服务的国家高新技术企业。湖南众合百易信息技术有限公司资管云存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03911

3、Tenda i12 formwrlSSIDset缓冲区溢出漏洞

‌Tenda i12是一款企业商用大功率AP无线接入点。Tenda i12 formwrlSSIDset处理list参数存在缓冲区溢出漏洞,远程攻击者可利用该漏洞提交特殊的请求,可使应用程序崩溃,造成拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03658

4、Tenda i12 formSetCfm缓冲区溢出漏洞

Tenda i12是一款企业商用大功率AP无线接入点。Tenda i12 formSetCfm处理funcpara1参数存在缓冲区溢出漏洞,远程攻击者可利用该漏洞提交特殊的请求,可使应用程序崩溃,造成拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03659

5、D-Link DIR-816A2 form2WlanBasicSetup.cgi组件访问控制错误漏洞

D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。D-Link DIR-816A2存在访问控制错误漏洞,该漏洞源于form2WlanBasicSetup.cgi组件的访问控制不当,未认证攻击者可利用此漏洞通过特制POST请求设置2.4G和5G无线服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-03615

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com