星期
      您所在的位置:首页 > 风险提示>
上周关注度较高的产品安全漏洞(20240318-20240324)
2024-03-26 08:28:11    来源: CNVD漏洞平台

一、境外厂商产品漏洞

1、Apache Tomcat输入验证错误漏洞

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在输入验证错误漏洞,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13568

2、Delinea PAM Secret Server信息泄露漏洞

Delinea PAM Secret Server是Delinea公司的一款密钥服务管理器。Delinea PAM Secret Server 11.4版本存在信息泄露漏洞,攻击者可利用该漏洞从内存转储读取数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-14050

3、Tenda W9越界写入漏洞(CNVD-2024-14372)

Tenda W9是中国腾达(Tenda)公司的一款无线入墙接入点。Tenda W9 1.0.0.7版本存在越界写入漏洞,该漏洞源于formOfflineSet函数的ssidIndex参数存在基于堆栈的缓冲区溢出。攻击者可以利用该漏洞注入恶意代码,从而窃取敏感信息或者破坏系统。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-14372

4、Siemens Simcenter Femap缓冲区溢出漏洞(CNVD-2024-13809)

Siemens Simcenter Femap是德国西门子(Siemens)公司的一款尖端工程学仿真应用程序。用于创建、编辑和导入/重用复杂产品或系统基于网格的有限元分析模型。Siemens Simcenter Femap V2306.0000之前版本存在缓冲区溢出漏洞,该漏洞源于在解析Catia MODEL文件时没有检查缓冲区输入大小,攻击者可利用该漏洞导致拒绝服务或者代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13809

5、Apache Tomcat拒绝服务漏洞(CNVD-2024-13569)

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在拒绝服务漏洞,攻击者可利用该漏洞增加资源消耗,导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13569

二、境内厂商产品漏洞

1、Tenda AC9缓冲区溢出漏洞(CNVD-2024-14374)

Tenda AC9是中国腾达(Tenda)公司的一款无线路由器。Tenda AC9存在缓冲区溢出漏洞。该漏洞源于setSchedWifi函数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞通过特制的溢出数据造成拒绝服务或运行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-14374

2、Tenda AC10U formSetSpeedWan函数缓冲区溢出漏洞

Tenda AC10U是中国腾达(Tenda)公司的一款无线路由器。Tenda AC10U存在缓冲区溢出漏洞,该漏洞源于formSetSpeedWan函数中的speed_dir参数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13797

3、上海卓卓网络科技有限公司DedeCMS存在SQL注入漏洞(CNVD-2024-13237)

DedeCMS是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。上海卓卓网络科技有限公司DedeCMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13237

4、TOTOLINK EX1800T命令执行漏洞

TOTOLINK EX1800T是中国吉翁电子(TOTOLINK)公司的一款Wi-Fi范围扩展器。TOTOLINK EX1800T存在命令执行漏洞。该漏洞源于cstecgi .cgi的setLanguageCfg接口的langFlag参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13794

5、万户ezOFFICE协同管理平台存在文件上传漏洞(CNVD-2024-14208)

万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户ezOFFICE协同管理平台存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-14208