星期
      您所在的位置:首页 > 风险提示>
上周关注度较高的产品安全漏洞(20240311-20240317)
2024-03-19 08:32:20    来源: CNVD漏洞平台

一、境外厂商产品漏洞

1、SAP NetWeaver AS跨站脚本漏洞(CNVD-2024-13534)

SAP NetWeaver AS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。SAP NetWeaver AS ABAP存在跨站脚本漏洞,该漏洞源于基于SAP GUI for HTML的应用程序未充分编码用户控制的输入,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13534

2、多款Fortinet产品格式化字符串错误漏洞

Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。Fortinet FortiPAM是美国飞塔(Fortinet)公司的一款权限访问控制的平台。多款Fortinet产品存在格式化字符串错误漏洞,攻击者可利用该漏洞通过特制的请求执行任意代码或命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13010

3、MongoDB Server信任管理问题漏洞(CNVD-2024-13539)

MongoDB Server是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。MongoDB Server存在信任管理问题漏洞,该漏洞源于未提供CAFile和clusterCAFile时,服务器会跳过对等证书验证。攻击者可利用该漏洞导致中间人攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13539

4、Fortinet FortiOS和FortiProxy空指针解引用漏洞

Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。Fortinet FortiOS和FortiProxy存在空指针解引用漏洞,攻击者可利用该漏洞通过特制的HTTP请求导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13019

5、Adobe Acrobat Reader输入验证错误漏洞(CNVD-2024-12461)

Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Acrobat Reader存在输入验证错误漏洞。攻击者可利用该漏洞控制受影响的系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12461

二、境内厂商产品漏洞

1、山东威尔数据股份有限公司SCM一卡通平台系统存在未授权访问漏洞

山东威尔数据股份有限公司是一家集自主软件开发、嵌入式开发、硬件开发、生产销售服务于一体的全产业链企业。山东威尔数据股份有限公司SCM一卡通平台系统存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37615

2、TP-LINK AX50跨站脚本漏洞

TP-LINK AX50是中国普联(TP-LINK)公司的一款路由器设备。TP-LINK AX50 1.0.11 build 2022052版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过SOAP请求创建端口映射规则,并在该规则中存储恶意JavaScript载荷。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13544

3、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-13551)

北京亿赛通科技发展有限责任公司是一家经营范围包括技术服务、技术开发、技术咨询、技术交流、技术转让、技术推广等的公司。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13551

4、金蝶云星空ERP存在反序列化漏洞

金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云星空ERP存在反序列化漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13011

5、XunRuiCMS跨站脚本漏洞(CNVD-2024-12713)

XunRuiCMS(迅睿CMS)是一套开源的内容管理系统(CMS)。XunRuiCMS v4.6.2及之前版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,远程攻击者可利用该漏洞通过向发送特制的恶意请求来获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12713