2024年09月16日-2023年09月22日
本周漏洞态势研判情况
本周漏洞按类型和厂商统计
本周行业漏洞收录情况
1、Adobe产品安全漏洞
Adobe InDesign是美国奥多比(Adobe)公司的一套排版编辑应用程序。Adobe Acrobat Reader是一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Illustrator是一套基于向量的图像制作软件。Adobe Framemaker是一套用于编写和编辑大型或复杂文档(包括结构化文档)的页面排版软件。Adobe Animate是一套Flash动画制作软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,导致应用程序崩溃等。
CNVD收录的相关漏洞包括:Adobe InDesign缓冲区溢出漏洞(CNVD-2024-38536)、Adobe InDesign越界读取漏洞(CNVD-2024-38535)、Adobe Acrobat Reader资源管理错误漏洞(CNVD-2024-38534)、Adobe Illustrator越界写入漏洞(CNVD-2024-38540)、Adobe Framemaker Publishing Server信息泄露漏洞、Adobe Framemaker Publishing Server身份验证错误漏洞(CNVD-2024-38538)、Adobe InDesign空指针解引用漏洞(CNVD-2024-38537)、Adobe Animate越界读取漏洞(CNVD-2024-38541)。其中,“Adobe InDesign缓冲区溢出漏洞(CNVD-2024-38536)、Adobe Illustrator越界写入漏洞(CNVD-2024-38540)、Adobe Framemaker Publishing Server信息泄露漏洞、Adobe Framemaker Publishing Server身份验证错误漏洞(CNVD-2024-38538)”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38536
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38535
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38534
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38540
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38539
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38538
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38537
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38541
2、Dell产品安全漏洞
Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞修改UEFI变量,提升系统权限,导致身份验证绕过等。
CNVD收录的相关漏洞包括:Dell BIOS授权问题漏洞(CNVD-2024-38332、CNVD-2024-38333)、Dell BIOS输入验证错误漏洞(CNVD-2024-38335、CNVD-2024-38334、CNVD-2024-38338、CNVD-2024-38337、CNVD-2024-38336、CNVD-2024-38339)。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38332
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38335
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38334
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38333
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38338
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38337
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38336
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38339
3、Google产品安全漏洞
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,使溢出缓冲区,在系统上执行任意代码或导致应用程序崩溃等。
CNVD收录的相关漏洞包括:Google Chrome Media Router内存错误引用漏洞、Google Chrome堆缓冲区溢出漏洞(CNVD-2024-38576、CNVD-2024-38577、CNVD-2024-38578)、Google Chrome代码执行漏洞(CNVD-2024-38575、CNVD-2024-38581、CNVD-2024-38582)、Google Chrome信息泄露漏洞(CNVD-2024-38583)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38574
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38575
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38576
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38577
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38578
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38581
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38582
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38583
4、IBM产品安全漏洞
IBM webMethods Integration是美国国际商业机器(IBM)公司的一个混合的企业iPaaS。IBM MQ Operator是一种用于管理 IBM MQ队列管理器生命周期的工具。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞绕过预期的访问限制并进行资源修改,上传和执行可以在底层操作系统上执行的任意文件,导致拒绝服务等。
CNVD收录的相关漏洞包括:IBM webMethods Integration权限提升漏洞、IBM webMethods Integration文件上传漏洞、IBM MQ Operator拒绝服务漏洞、IBM MQ Operator安全绕过漏洞、IBM Aspera信息泄露漏洞、IBM Aspera安全绕过漏洞(CNVD-2024-38530、CNVD-2024-38533)、IBM webMethods Integration路径遍历漏洞。其中,“IBM webMethods Integration权限提升漏洞、IBM webMethods Integration文件上传漏洞、IBM MQ Operator安全绕过漏洞”漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38528
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38527
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38525
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38524
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38531
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38530
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38529
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38533
5、Micron Crucial MX500 Series Solid State Drives缓冲区溢出漏洞
Micron Crucial MX500 Series Solid State Drives是美国美光(Micron)公司的一系列固态硬盘。本周,Micron Crucial MX500 Series Solid State Drives被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞溢出缓冲区并在系统上执行任意代码。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38570
小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,在系统上执行任意代码,导致应用程序崩溃等。此外,Dell、Google、IBM等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,修改UEFI变量,提升系统权限,导致身份验证绕过,在系统上执行任意代码或导致应用程序崩溃等。另外,Micron Crucial MX500 Series Solid State Drives被披露存在缓冲区溢出漏洞。攻击者可利用漏洞溢出缓冲区并在系统上执行任意代码。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
SeaCMS是海洋CMS(SeaCMS)公司的一套使用PHP编写的免费、开源的网站内容管理系统。该系统主要被设计用来管理视频点播资源。
SeaCMS存在跨站脚本漏洞,攻击者可利用该漏洞通过注入siteurl参数的精心制作的有效负载执行任意web脚本或HTML。
POC链接:
https://github.com/nn0nkey/nn0nkey/blob/main/CVE-2024-44920.md
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-38573
原文始发于微信公众号(CNVD漏洞平台):CNVD漏洞周报2024年第38期
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论