CNVD漏洞周报2024年第32期

admin 2024年8月12日19:26:06评论8 views字数 7670阅读25分34秒阅读模式

202408月05-202408月11

CNVD漏洞周报2024年第32期


本周信息安全漏洞威胁整体评价级别为中。
国家信息安全漏洞共享平台(以下简称CNVD)本周共收集、整理信息安全漏洞217个,其中高危漏洞117个、中危漏洞95个、低危漏洞5个。漏洞平均分值为7.08。本周收录的漏洞中,涉及0day漏洞109个(占50%),其中互联网上出现“AJ-Report SQL注入漏洞(CNVD-2024-34975)、福州网钛软件科技有限公司idcCMS跨站请求伪造漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数26411个,与上周(45205个)环比减少42%。

CNVD漏洞周报2024年第32期

1CNVD10

CNVD漏洞周报2024年第32期

2CNVD0day

本周,CNVD向银行、保险、能源等重要行业单位通报漏洞事件4起,向基础电信企业通报漏洞事件2起,协调CNCERT各分中心验证和处置涉及地方重要部门漏洞事件360起,协调教育行业应急组织验证和处置高校科研院所系统漏洞事件37起,向国家上级信息安全协调机构上报涉及部委门户、子站或直属单位信息系统漏洞事件14起。

CNVD漏洞周报2024年第32期

3CNVD

CNVD漏洞周报2024年第32期

4CNCERT

CNVD漏洞周报2024年第32期

5CNVD

CNVD

紫光软件系统有限公司、珠海市安克电子技术有限公司、中建材信息技术股份有限公司、正奇晟业(北京)科技有限公司、浙江宇视科技有限公司、浙江和达科技股份有限公司、浙江大华技术股份有限公司、长沙德尚网络科技有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、雅马哈乐器音响(中国)投资有限公司、无锡开云信息技术有限公司、广州图创计算机软件开发有限公司、天津神州浩天科技有限公司、四川迅睿云软件开发有限公司、神州数码控股有限公司、深圳市四海众联网络科技有限公司、深圳市锐明技术股份有限公司、深圳市必联电子有限公司、深圳海威达科技有限公司、上海卓卓网络科技有限公司、上海甄云信息科技有限公司、上海三高计算机中心股份有限公司、上海泛微网络科技股份有限公司、山西汽运集团云易网络科技有限公司、山石网科通信技术(北京)有限公司、山东金钟科技集团股份有限公司、山东德尔智能数码股份有限公司、厦门纳龙健康科技股份有限公司、厦门科拓通讯技术股份有限公司、青岛三利集团有限公司、青岛和正信息技术有限公司、麒麟软件有限公司、普联技术有限公司、南京南瑞信通科技有限公司、金蝶国际软件集团有限公司、江阴汇智软件技术有限公司、佳能(中国)有限公司、吉翁电子(深圳)有限公司、恒信汽车集团股份有限公司、杭州新中大科技股份有限公司、杭州千宜科技有限公司、杭州荷花软件有限公司、哈尔滨新中新电子股份有限公司、贵阳思普信息技术有限公司、广州易凯软件技术有限公司、广州市玄武无线科技股份有限公司、广州恒企教育科技有限公司、广东飞企互联科技股份有限公司、福建远控科技有限公司、福建博思软件股份有限公司、飞救医疗科技(北京)有限公司、东莞市通天星软件科技有限公司、东方网力科技股份有限公司、东北师大理想软件股份有限公司、成都同飞科技有限责任公司、成都天问互联科技有限公司、成都索贝数码科技股份有限公司、成都光大网络科技有限公司、畅捷通信息技术股份有限公司、博锐尚格科技股份有限公司、北京中创视讯科技有限公司、北京炎黄盈动科技发展有限责任公司、北京星网锐捷网络技术有限公司、北京万向新元科技股份有限公司、北京通达信科科技有限公司、北京神州数码云科信息技术有限公司、北京神州视翰科技有限公司、北京软虹科技有限公司、北京金和网络股份有限公司、北京海量数据技术股份有限公司、北京北大方正电子有限公司、北京百卓网络技术有限公司、安徽新中新华科电子有限公司、安徽科迅教育装备集团有限公司和安徽九广全景智慧科技有限公司。

本周,CNVD发布了《关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告》和《亿赛通公司发布电子文档安全管理系统产品补丁更新》。详情参见CNVD网站公告内容。

https://www.cnvd.org.cn/webinfo/show/10286

https://www.cnvd.org.cn/webinfo/show/10291

1示。其中,深信服科技股份有限公司、北京天融信网络安全技术有限公司、新华三技术有限公司、安天科技集团股份有限公司、阿里云计算有限公司等单位报送公开收集的漏洞数量较多。江苏金盾检测技术股份有限公司、快页信息技术有限公司、河南东方云盾信息技术有限公司、重庆都会信息科技有限公司、北京翰慧投资咨询有限公司、江苏锋刃信息科技有限公司、北京山石网科信息技术有限公司、江苏正信信息安全测试有限公司、江苏云天网络安全技术有限公司、中资网络信息安全科技有限公司、江苏晟晖信息科技有限公司、甘肃赛飞安全科技有限公司、河南天祺信息安全技术有限公司、国家体育总局体育彩票管理中心、成都久信信息技术股份有限公司、广州万方计算机科技有限公司、北京天下信安技术有限公司、北京亿赛通科技发展有限责任公司、厦门聚丁科技有限公司、马鞍山书拓安全科技有限公司及其他个人白帽子向CNVD提交了26411个以事件型漏洞为主的原创漏洞,其中包括斗象科技(漏洞盒子)、奇安信网神(补天平台)、三六零数字安全科技集团有限公司和上海交大向CNVD共享的白帽子报送的25351条原创漏洞信息。
1

CNVD漏洞周报2024年第32期


本周,CNVD收录了217个漏洞。WEB应用87个,应用程序55个,数据库29个,网络设备(交换机、路由器等网络端设备)28个,智能设备(物联网终端设备)13个,操作系统5个。
2

CNVD漏洞周报2024年第32期

CNVD漏洞周报2024年第32期

6
CNVD整理和发布的漏洞涉及Oracle、Google、Solarwinds等多家厂商的产品,部分漏洞数量按厂商统计如表3所示。
3

CNVD漏洞周报2024年第32期

本周,CNVD收录了29个电信行业漏洞,2个移动互联网行业漏洞,7个工控行业漏洞(如下图所示)。其中,“Rockwell Automation Pavilion 8权限提升漏洞、AutomationDirect P3-550E越界写入漏洞”等漏洞的综合评级为“高危”。相关厂商已经发布了漏洞的修补程序,请参照CNVD相关行业漏洞库链接。
http://telecom.cnvd.org.cn/
http://mi.cnvd.org.cn/
http://ics.cnvd.org.cn/

CNVD漏洞周报2024年第32期

7

CNVD漏洞周报2024年第32期

8

CNVD漏洞周报2024年第32期

9
CNVD

1、Adobe产品安全漏洞

Adobe Experience ManagerAEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML

CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2024-34600CNVD-2024-34599CNVD-2024-34598CNVD-2024-34603CNVD-2024-34602CNVD-2024-34601CNVD-2024-34606CNVD-2024-34605)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34600

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34599

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34598

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34603

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34602

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34601

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34606

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34605

2、Dell产品安全漏洞

Dell Inventory Collector是美国戴尔(Dell)公司的一款驱动程序。Dell Peripheral Manager是一个应用软件。提供了有关如何通过蓝牙将其他设备与计算机配对的屏幕说明。Dell iDRAC Service Module是一个轻量级的软件模块,设计用于在Dell PowerEdge服务器上运行,以增强iDRAC(Integrated Dell Remote Access Controller)的功能。Dell InsightIQ是一个性能监控和报告工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,执行任意代码,拒绝服务等。

CNVD收录的相关漏洞包括:Dell Inventory Collector路径遍历漏洞、Dell Peripheral Manager不受控搜索路径元素漏洞(CNVD-2024-34486、CNVD-2024-34485)、Dell InsightIQ加密问题漏洞、Dell iDRAC Service Module越界写入漏洞(CNVD-2024-34490、CNVD-2024-34494)、Dell iDRAC Service Module越界读取漏洞(CNVD-2024-34489、CNVD-2024-34492)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34487

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34486

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34485

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34492

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34491

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34490

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34489

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34494

3、Google产品安全漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,执行任意代码等。

CNVD收录的相关漏洞包括:Google Chrome代码执行漏洞(CNVD-2024-34498、CNVD-2024-34496)、Google Chrome安全绕过漏洞(CNVD-2024-34497)、Google Chrome释放后重用漏洞(CNVD-2024-34500、CNVD-2024-34502、CNVD-2024-34501)、Google Chrome输入验证错误漏洞(CNVD-2024-34504)、Google Chrome越界读取漏洞(CNVD-2024-34499)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34498

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34497

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34496

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34500

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34499

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34502

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34501

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34504

4、Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码或造成拒绝服务等。

CNVD收录的相关漏洞包括:多款Mozilla产品信息泄露漏洞、多款Mozilla产品代码执行漏洞(CNVD-2024-34588、CNVD-2024-34589)、Mozilla Firefox和Thunderbird安全绕过漏洞(CNVD-2024-34593、CNVD-2024-34596、CNVD-2024-34595)、Mozilla Firefox和Thunderbird代码执行漏洞(CNVD-2024-34594、CNVD-2024-34597)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34588

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34590

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34589

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34594

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34593

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34596

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34595

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34597

5、Tenda AX2 Pro代码执行漏洞

Tenda AX2 Pro是中国腾达(Tenda)公司的一款家庭用户设计入门级的千兆Wi-Fi 6路由器。本周,Tenda AX2 Pro被披露存在代码执行漏洞。攻击者可利用该漏洞通过Routing功能执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34973

小结:本周,Adobe产品被披露存在跨站脚本漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。此外,DellGoogleMozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,获取敏感信息,在系统上执行任意代码或造成拒绝服务等。另外,Tenda AX2 Pro被披露存在代码执行漏洞。攻击者可利用该漏洞通过Routing功能执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案

CNVD
1福州网钛软件科技有限公司idcCMS跨站请求伪造漏洞

idcCMS是福州网钛软件科技有限公司的一个云管理代理系统。

福州网钛软件科技有限公司idcCMS存在跨站请求伪造漏洞,攻击者可利用该漏洞发送错误的HTTP请求执行跨站点脚本攻击、Web缓存中毒和其他恶意活动。

POC链接:

https://github.com/FirstLIF/cms/blob/main/2.md

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-34974

恒安嘉新(北京)科技股份公司
()广
CNVD
ChinaNationalVulnerabilityDatabaseCNVDCNCERT
CNCERT
CNCERTCNCERT/CC20029
CNCERT
www.cert.org.cn
vreport@cert.org.cn
010-82991537
CNVD
CNVD漏洞周报2024年第32期

原文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2024年第32期

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月12日19:26:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CNVD漏洞周报2024年第32期https://cn-sec.com/archives/3060269.html

发表评论

匿名网友 填写信息