上周关注度较高的产品安全漏洞(20240826-20240901)

发布于 作者:

上周关注度较高的产品安全漏洞(20240826-20240901)

国家互联网应急中心CNCERT 2024-09-03 15:27

一、境外厂商产品漏洞

1、
Mozilla Firefox拒绝服务漏洞(CNVD-2024-36732)****

Mozilla Firefox
是美国
Mozilla
基金会的一款开源
Web
浏览器。
Mozilla Firefox
存在拒绝服务漏洞,该漏洞源于对象初始化期间内存不足的情况可能会导致形状列表为空。攻击者可利用该漏洞导致崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36732

2、
Adobe Illustrator输入验证错误漏洞(CNVD-2024-36361)

Adobe Illustrator
是美国奥多比(
Adobe
)公司的一套基于向量的图像制作软件。
Adobe Illustrator
存在输入验证错误漏洞,该漏洞源于输入验证不正确。攻击者可利用该漏洞导致系统拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36361

3、
Microsoft Windows Remote Desktop Licensing
Service拒绝服务漏洞

Microsoft Windows Remote Desktop Licensing Service
是远程桌面授权服务,允许用户以交互方式连接到远程计算机。
Microsoft Windows Remote
Desktop Licensing Service
存在拒绝服务漏洞,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36386

4、
Mozilla Firefox安全绕过漏洞(CNVD-2024-36729)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在安全绕过漏洞,攻击者可利用该漏洞绕过安全限制打开新窗口。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36729

5、
Microsoft Windows Remote Desktop Licensing
Service远程代码执行漏洞

Microsoft Windows Remote Desktop Licensing Service是远程桌面授权服务,允许用户以交互方式连接到远程计算机。Microsoft Windows Remote
Desktop Licensing Service存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36383

二、境内厂商产品漏洞

1、
北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-34821)

亿赛通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34821

2、
YouDianCMS存在文件上传漏洞(CNVD-2024-34730)

YouDianCMS是国内开源五站合一优秀解决方案。YouDianCMS存在文件上传漏洞,攻击者可利用该漏洞执行恶意的php代码达到远程代码执行的效果。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34730

3、
Tenda FH1202 page参数缓冲区溢出漏洞

Tenda FH1202是中国腾达(Tenda)公司的一款无线路由器。Tenda FH1202 v1.2.0.14(408) 版本存在缓冲区溢出漏洞,该漏洞源于fromAddressNat方法的page参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36921

4、
深圳市蓝凌软件股份有限公司蓝凌OA存在SQL注入漏洞(CNVD-2024-35420)

蓝凌OA是一款由深圳市蓝凌软件股份有限公司开发的智能办公产品,旨在满足企业日常办公、企业文化、客户管理、人事服务、行政服务等在线需求。深圳市蓝凌软件股份有限公司蓝凌OA存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35420

5、
北大医疗信息技术有限公司运营管理与决策支持系统存在XSS漏洞

北大医疗信息技术有限公司是我国早期从事医疗信息化的企业之一,国内创新推出CHIS系统、智慧医院信息平台,互联网医院监管平台,是国内领先的智慧医院、区域卫生、“医疗+互联网”解决方案提供商和服务商之一。北大医疗信息技术有限公司运营管理与决策支持系统存在XSS漏洞,攻击者可利用该漏洞上传xml文件,进行XSS钓鱼攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35221

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。