上周关注度较高的产品安全漏洞(20240805-20240811)

发布于 作者:

上周关注度较高的产品安全漏洞(20240805-20240811)

国家互联网应急中心CNCERT 2024-08-13 15:06

一、境外厂商产品漏洞

1、
Mozilla Firefox和Thunderbird代码执行漏洞(CNVD-2024-34597)****

Mozilla Firefox是一款开源Web浏览器。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla Firefox和Thunderbird存在代码执行漏洞,该漏洞是由NSS中的内存破坏引起的。攻击者可利用该漏洞在系统上执行任意代码或造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34597

2、
Google Chrome代码执行漏洞(CNVD-2024-34498)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在代码执行漏洞,该漏洞源于Tabs中内存释放后重用,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd
.org.cn/flaw/show/CNVD-2024-34498

3、
Mozilla Firefox和Thunderbird安全绕过漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla Firefox和Thunderbird存在安全绕过漏洞,该漏洞是由与捕获转义键按下的表单验证弹出窗口相关的错误引起的。攻击者可利用该漏洞绕过安全限制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34593

4、
Rockwell Automation PowerFlex 527输入验证错误漏洞(CNVD-2024-34873)

Rockwell Automation PowerFlex 527是美国罗克韦尔(Rockwell Automation)公司的一款可调交流变频器。Rockwell Automation PowerFlex
527存在输入验证错误漏洞,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34873

5、
AutomationDirect P3-550E访问控制错误漏洞(CNVD-2024-34888)

AutomationDirect P3-550E是美国AutomationDirect公司的一个可编程控制系统(PLC)。AutomationDirect P3-550E 1.2.10.9版本存在访问控制错误漏洞,攻击者可利用该漏洞通过发送特制的网络数据包导致信息泄露。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34888

二、境内厂商产品漏洞

1、
北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞

电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞远程执行命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-14433

2、
福州网钛软件科技有限公司idcCMS跨站请求伪造漏洞

idcCMS是福州网钛软件科技有限公司的一个云管理代理系统。福州网钛软件科技有限公司idcCMS存在跨站请求伪造漏洞,攻击者可利用该漏洞发送错误的HTTP请求执行跨站点脚本攻击、Web缓存中毒和其他恶意活动。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34974

3、
北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞(CNVD-2023-87982)

电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-87982

4、
用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-33023)

U8 cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型企业,提供企业级云ERP整体解决方案。用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞,攻击者可利用该获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-33023

5、
Tenda AX2 Pro代码执行漏洞

Tenda AX2 Pro是中国腾达(Tenda)公司的一款家庭用户设计入门级的千兆Wi-Fi 6路由器。Tenda AX2 Pro V16.03.29.48版本存在代码执行漏洞,攻击者可利用该漏洞通过Routing功能执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34973

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。