您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240129-20240204)
一、境外廠商產(chǎn)品漏洞
1、Google Chrome數(shù)字錯誤漏洞(CNVD-2024-06231)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 120.0.6099.216之前版本存在數(shù)字錯誤漏洞,該漏洞源于數(shù)據(jù)驗證不足。攻擊者可利用該漏洞通過特制的HTML頁面安裝惡意擴展程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06231
2、Glibc存在堆溢出漏洞
glibc是GNU發(fā)布的libc庫,即c運行庫。Glibc存在堆溢出漏洞,擁有低權(quán)限的本地攻擊者可以利用該漏洞提升至root權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06857
3、Google Android權(quán)限提升漏洞(CNVD-2024-07115)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用此漏洞在系統(tǒng)上獲取提升的特權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07115
4、Apache Superset跨站腳本漏洞(CNVD-2024-06442)
Apache Superset是美國阿帕奇(Apache)基金會的一個數(shù)據(jù)可視化和數(shù)據(jù)探索平臺。Apache Superset 3.0.3之前版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,經(jīng)過身份驗證的攻擊者可利用該漏洞將惡意腳本注入Web頁面。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06442
5、WebCalendar跨站腳本漏洞
WebCalendar是一個PHP應(yīng)用程序,用于為單個用戶或Intranet用戶組維護日歷。它還可以配置為事件日歷。WebCalendar v1.3.0版本存在跨站腳本漏洞,該漏洞源于/WebCalendarvqsmnseug2/edit_entry.php組件對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06441
二、境內(nèi)廠商產(chǎn)品漏洞
1、ZZCMS文件上傳漏洞(CNVD-2024-06241)
ZZCMS是中國ZZCMS團隊的一套內(nèi)容管理系統(tǒng)(CMS)。ZZCMS 2023版本存在文件上傳漏洞,該漏洞源于/E_bak5.1/upload/index.php對上傳的文件缺少有效的驗證。攻擊者可利用該漏洞獲取服務(wù)器權(quán)限并執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06241
2、TOTOLINK A3300R setDdnsCfg方法命令注入漏洞
TOTOLINK A3300R是中國吉翁電子(TOTOLINK)公司的一款無線路由器。TOTOLINK A3300R V17.0.0cu.557_B20221024版本存在命令注入漏洞,該漏洞源于setDdnsCfg方法的username參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06218
3、武漢達夢數(shù)據(jù)庫股份有限公司達夢啟智?數(shù)據(jù)可視化系統(tǒng)(DMQZDV體驗版)存在任意文件讀取漏洞
達夢啟智大數(shù)據(jù)可視化系統(tǒng)是面向大數(shù)據(jù)展示的一站式工具平臺。武漢達夢數(shù)據(jù)庫股份有限公司達夢啟智?數(shù)據(jù)可視化系統(tǒng)(DMQZDV體驗版)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-03150
4、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2024-06018)
北京億賽通科技發(fā)展有限責(zé)任公司是一家經(jīng)營范圍包括一般項目:技術(shù)服務(wù)、技術(shù)開發(fā)、技術(shù)咨詢、技術(shù)交流、技術(shù)轉(zhuǎn)讓等的公司。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06018
5、Tenda AX1803 getIptvInfo方法的adv.iptv.stbpvid參數(shù)緩沖區(qū)溢出漏洞
Tenda AX1803是中國騰達(Tenda)公司的一款雙頻千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在緩沖區(qū)溢出漏洞,該漏洞源于getIptvInfo方法的adv.iptv.stbpvid參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06234
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺