上周关注度较高的产品安全漏洞(20240812-20240818)

发布于 作者:

上周关注度较高的产品安全漏洞(20240812-20240818)

原创 CNVD CNVD漏洞平台 2024-08-19 17:17

一、境外厂商产品漏洞

1、DerbyNet racerid参数跨站脚本漏洞

DerbyNet是一个简易的比赛转播项目代码。DerbyNet racerid参数存在跨站脚本漏洞,该漏洞是由于photo-thumbs.php脚本对用户提供的输入验证不当造成的。攻击者可利用此漏洞窃取受害者基于cookie的身份验证凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35606

2、施耐德电气(中国)有限公司施耐德PLC仿真器存在拒绝服务漏洞

施耐德电气(中国)有限公司是全球化电气企业,全球能效管理和自动化领域的专家。施耐德电气(中国)有限公司施耐德PLC仿真器存在拒绝服务漏洞,攻击者可利用该漏洞导致程序崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35253

3、Google Chrome代码执行漏洞(CNVD-2024-35258)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在代码执行漏洞,该漏洞是由V8中的类型混淆引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35258

4、Apache Superset SQL注入漏洞(CNVD-2024-35190)

Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset存在SQL注入漏洞,攻击者可利用该漏洞查看、添加、修改或删除后端数据库中的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35190

5、DerbyNet order参数跨站脚本漏洞

DerbyNet是一个简易的比赛转播项目代码。DerbyNet order参数存在跨站脚本漏洞,该漏洞是由于checkin.php脚本对用户提供的输入验证不当造成的。攻击者可利用此漏洞窃取受害者基于cookie的身份验证凭据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35605

二、境内厂商产品漏洞

1、东莞市通天星软件科技有限公司主动安全监控云平台存在SQL注入漏洞(CNVD-2024-33117)

东莞市通天星软件科技有限公司是一家视频安防服务商。东莞市通天星软件科技有限公司主动安全监控云平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息,写入文件执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-33117

2、北京亚控科技发展有限公司KingPortal运行系统客户端存在任意文件下载漏洞

KingPortal运行系统客户端是一款纯B/S架构面向工业监控领域的web端组态产品。北京亚控科技发展有限公司KingPortal运行系统客户端存在任意文件下载漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-33107

3、北京星网锐捷网络技术有限公司NBR6120-E路由器控制引擎存在命令执行漏洞

锐捷网络,成立于2003年,是行业领先的ICT基础设施及解决方案提供商。北京星网锐捷网络技术有限公司NBR6120-E路由器控制引擎存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-33127

4、Tenda i22 formApPortalPhoneAuth栈溢出漏洞

Tenda i22是一款腾达(Tenda)的双频吸顶无线接入点。Tenda i22
/goform/apPortalPhoneAuth处理formApPortalPhoneAuth存在栈溢出漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可使应用程序崩溃或可以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35556

5、Tenda i22 formApPortalWebAuth栈溢出漏洞

Tenda i22是一款腾达(Tenda)的双频吸顶无线接入点。Tenda i22 /goform/apPortalAuth处理formApPortalWebAuth存在栈溢出漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可使应用程序崩溃或可以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35555

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。