上周关注度较高的产品安全漏洞(20240902-20240908)

发布于 作者:

上周关注度较高的产品安全漏洞(20240902-20240908)

国家互联网应急中心CNCERT 2024-09-10 14:48

一、境外厂商产品漏洞

1、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37481)

ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZOHO ManageEngine ADAudit
Plus 8121之前版本存在SQL注入漏洞,攻击者可利用该漏洞执行自定义查询并访问数据库表项。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37481

2、ZOHO ManageEngine ADAudit Plus SQL注入漏洞(CNVD-2024-37480)

ZOHO ManageEngine ADAudit Plus是美国卓豪(ZOHO)公司的用于简化审计、证明合规性和检测威胁。ZOHO ManageEngine ADAudit
Plus 8000之前版本存在SQL注入漏洞,攻击者可利用该漏洞执行自定义查询并访问数据库表项。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37480

3、Mozilla Firefox拒绝服务漏洞(CNVD-2024-37192)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在拒绝服务漏洞,该漏洞是由于js::CheckTracedThing中的指针解引用损坏造成的。攻击者可利用此漏洞导致浏览器崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37192

4、IBM InfoSphere Information Server拒绝服务漏洞(CNVD-2024-37058)

IBM InfoSphere Information Server是美国国际商业机器(IBM)公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information
Server 11.7版本存在拒绝服务漏洞,攻击者可利用该漏洞消耗文件空间资源。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37058

5、Mozilla Firefox代码执行漏洞(CNVD-2024-37193)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在代码执行漏洞,该漏洞源于如果垃圾回收开始时JavaScript领域正在初始化,则可能会导致释放后重用。攻击者可利用该漏洞在系统上执行任意代码或造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37193

二、境内厂商产品漏洞

1、北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-36406)

亿赛通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36406

2、北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-36673)

亿赛通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36673

3、用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞(CNVD-2024-36940)

U8 Cloud是一款企业上云数字化平台,集交易、服务、管理于一体的ERP整体解决方案。用友网络科技股份有限公司U8 Cloud存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-36940

4、SeaCMS代码执行漏洞(CNVD-2024-37605)

SeaCMS是海洋CMS(SeaCMS)公司的一套使用PHP编写的免费、开源的网站内容管理系统。该系统主要被设计用来管理视频点播资源。SeaCMS 13.0版本存在代码执行漏洞,该漏洞源于admin_editplayer.php对文件的编辑限制可以被绕过,攻击者可利用该漏洞导致任意代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37605

5、浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞(CNVD-2024-35419)

浙江大华技术股份有限公司是以视频为核心的智慧物联解决方案供应商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞,远程攻击者可利用该漏洞上传任意文件,获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-35419

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。