2024年08月05日-2024年08月11日
本周漏洞态势研判情况
紫光软件系统有限公司、珠海市安克电子技术有限公司、中建材信息技术股份有限公司、正奇晟业(北京)科技有限公司、浙江宇视科技有限公司、浙江和达科技股份有限公司、浙江大华技术股份有限公司、长沙德尚网络科技有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、雅马哈乐器音响(中国)投资有限公司、无锡开云信息技术有限公司、广州图创计算机软件开发有限公司、天津神州浩天科技有限公司、四川迅睿云软件开发有限公司、神州数码控股有限公司、深圳市四海众联网络科技有限公司、深圳市锐明技术股份有限公司、深圳市必联电子有限公司、深圳海威达科技有限公司、上海卓卓网络科技有限公司、上海甄云信息科技有限公司、上海三高计算机中心股份有限公司、上海泛微网络科技股份有限公司、山西汽运集团云易网络科技有限公司、山石网科通信技术(北京)有限公司、山东金钟科技集团股份有限公司、山东德尔智能数码股份有限公司、厦门纳龙健康科技股份有限公司、厦门科拓通讯技术股份有限公司、青岛三利集团有限公司、青岛和正信息技术有限公司、麒麟软件有限公司、普联技术有限公司、南京南瑞信通科技有限公司、金蝶国际软件集团有限公司、江阴汇智软件技术有限公司、佳能(中国)有限公司、吉翁电子(深圳)有限公司、恒信汽车集团股份有限公司、杭州新中大科技股份有限公司、杭州千宜科技有限公司、杭州荷花软件有限公司、哈尔滨新中新电子股份有限公司、贵阳思普信息技术有限公司、广州易凯软件技术有限公司、广州市玄武无线科技股份有限公司、广州恒企教育科技有限公司、广东飞企互联科技股份有限公司、福建远控科技有限公司、福建博思软件股份有限公司、飞救医疗科技(北京)有限公司、东莞市通天星软件科技有限公司、东方网力科技股份有限公司、东北师大理想软件股份有限公司、成都同飞科技有限责任公司、成都天问互联科技有限公司、成都索贝数码科技股份有限公司、成都光大网络科技有限公司、畅捷通信息技术股份有限公司、博锐尚格科技股份有限公司、北京中创视讯科技有限公司、北京炎黄盈动科技发展有限责任公司、北京星网锐捷网络技术有限公司、北京万向新元科技股份有限公司、北京通达信科科技有限公司、北京神州数码云科信息技术有限公司、北京神州视翰科技有限公司、北京软虹科技有限公司、北京金和网络股份有限公司、北京海量数据技术股份有限公司、北京北大方正电子有限公司、北京百卓网络技术有限公司、安徽新中新华科电子有限公司、安徽科迅教育装备集团有限公司和安徽九广全景智慧科技有限公司。
https://www.cnvd.org.cn/webinfo/show/10286
https://www.cnvd.org.cn/webinfo/show/10291
本周漏洞按类型和厂商统计
本周行业漏洞收录情况
1、Adobe产品安全漏洞
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。本周,上述产品被披露存在跨站脚本漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
CNVD收录的相关漏洞包括:Adobe Experience Manager跨站脚本漏洞(CNVD-2024-34600、CNVD-2024-34599、CNVD-2024-34598、CNVD-2024-34603、CNVD-2024-34602、CNVD-2024-34601、CNVD-2024-34606、CNVD-2024-34605)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34600
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34599
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34598
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34603
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34602
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34601
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34606
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34605
2、Dell产品安全漏洞
Dell Inventory Collector是美国戴尔(Dell)公司的一款驱动程序。Dell Peripheral Manager是一个应用软件。提供了有关如何通过蓝牙将其他设备与计算机配对的屏幕说明。Dell iDRAC Service Module是一个轻量级的软件模块,设计用于在Dell PowerEdge服务器上运行,以增强iDRAC(Integrated Dell Remote Access Controller)的功能。Dell InsightIQ是一个性能监控和报告工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞导致信息泄露,执行任意代码,拒绝服务等。
CNVD收录的相关漏洞包括:Dell Inventory Collector路径遍历漏洞、Dell Peripheral Manager不受控搜索路径元素漏洞(CNVD-2024-34486、CNVD-2024-34485)、Dell InsightIQ加密问题漏洞、Dell iDRAC Service Module越界写入漏洞(CNVD-2024-34490、CNVD-2024-34494)、Dell iDRAC Service Module越界读取漏洞(CNVD-2024-34489、CNVD-2024-34492)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34487
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34486
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34485
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34492
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34491
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34490
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34489
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34494
3、Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,执行任意代码等。
CNVD收录的相关漏洞包括:Google Chrome代码执行漏洞(CNVD-2024-34498、CNVD-2024-34496)、Google Chrome安全绕过漏洞(CNVD-2024-34497)、Google Chrome释放后重用漏洞(CNVD-2024-34500、CNVD-2024-34502、CNVD-2024-34501)、Google Chrome输入验证错误漏洞(CNVD-2024-34504)、Google Chrome越界读取漏洞(CNVD-2024-34499)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34498
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34497
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34496
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34500
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34499
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34502
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34501
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34504
4、Mozilla产品安全漏洞
Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码或造成拒绝服务等。
CNVD收录的相关漏洞包括:多款Mozilla产品信息泄露漏洞、多款Mozilla产品代码执行漏洞(CNVD-2024-34588、CNVD-2024-34589)、Mozilla Firefox和Thunderbird安全绕过漏洞(CNVD-2024-34593、CNVD-2024-34596、CNVD-2024-34595)、Mozilla Firefox和Thunderbird代码执行漏洞(CNVD-2024-34594、CNVD-2024-34597)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34588
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34590
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34589
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34594
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34593
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34596
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34595
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34597
5、Tenda AX2 Pro代码执行漏洞
Tenda AX2 Pro是中国腾达(Tenda)公司的一款家庭用户设计入门级的千兆Wi-Fi 6路由器。本周,Tenda AX2 Pro被披露存在代码执行漏洞。攻击者可利用该漏洞通过Routing功能执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34973
小结:本周,Adobe产品被披露存在跨站脚本漏洞,攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。此外,Dell、Google、Mozilla等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的HTML页面潜在地利用堆损坏,获取敏感信息,在系统上执行任意代码或造成拒绝服务等。另外,Tenda AX2 Pro被披露存在代码执行漏洞。攻击者可利用该漏洞通过Routing功能执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
idcCMS是福州网钛软件科技有限公司的一个云管理代理系统。
福州网钛软件科技有限公司idcCMS存在跨站请求伪造漏洞,攻击者可利用该漏洞发送错误的HTTP请求执行跨站点脚本攻击、Web缓存中毒和其他恶意活动。
POC链接:
https://github.com/FirstLIF/cms/blob/main/2.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-34974
原文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2024年第32期
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论