您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20240610-20240616)
一、境外廠商產(chǎn)品漏洞
1、Siemens TIM 1531 IRC無限循環(huán)漏洞
TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在無限循環(huán)漏洞,經(jīng)過身份驗證的遠程攻擊者可利用該漏洞通過導入特制的PKCS12容器來創(chuàng)建拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26693
2、Apache Airflow信息泄露漏洞(CNVD-2024-26530)
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴展和動態(tài)監(jiān)控等特點。Apache Airflow 2.8.2之前版本存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26530
3、Siemens S7-200 SMART series使用不安全的隨機值漏洞
S7-200 SMART series是一系列微型可編程邏輯控制器,可以控制各種小型自動化應(yīng)用。Siemens S7-200 SMART series存在使用不安全的隨機值漏洞,攻擊者可利用該漏洞創(chuàng)建拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26691
4、WordPress Discussion Board plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。WordPress plugin Discussion Board 2.4.8版本及之前版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26513
5、Siemens TIM 1531 IRC數(shù)字類型錯誤轉(zhuǎn)換漏洞
TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在數(shù)字類型錯誤轉(zhuǎn)換漏洞,攻擊者可利用該漏洞在受影響的設(shè)備上造成拒絕服務(wù)條件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-26692
二、境內(nèi)廠商產(chǎn)品漏洞
1、小米科技有限責任公司小米路由器AX9000存在二進制漏洞
小米路由器AX9000是小米公司于2021年3月29日發(fā)布的第三代Wi-Fi6旗艦產(chǎn)品—,支持WiFi6增強版,最大理論速率可達3.5Gbps。小米科技有限責任公司小米路由器AX9000存在二進制漏洞,攻擊者可利用漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23093
2、廈門快普信息技術(shù)有限公司快普M6整合管理平臺系統(tǒng)存在SQL注入漏洞(CNVD-2024-27112)
廈門快普信息技術(shù)有限公司是一家致力于信息化整合管理系統(tǒng)研發(fā)的創(chuàng)新型高科技企業(yè)。廈門快普信息技術(shù)有限公司快普M6整合管理平臺系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息,執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-27112
3、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞(CNVD-C-2024-271249)
億賽通文檔安全管理系統(tǒng)是國內(nèi)最早基于文件過濾驅(qū)動技術(shù)的文檔加解密產(chǎn)品,保護范圍涵蓋終端電腦(Windows、Mac、Linux系統(tǒng)平臺)、智能終端(Android、IOS)及各類應(yīng)用系統(tǒng)(OA、知識管理、文檔管理、項目管理、PDM等)。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23002
4、用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞
用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞,攻擊者可利用漏洞執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-23099
5、廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞(CNVD-2024-25622)
廈門天銳科技股份有限公司是數(shù)據(jù)安全產(chǎn)品與服務(wù)提供商。廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-25622
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺