您所在的位置: 首页 >
安全研究 >
安全通告 >
上周关注度较高的产品安全漏洞
(20240325-20240331)
一、境外厂商产品漏洞
1、Apache Superset资源管理错误漏洞(CNVD-2024-14775)
Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 2.1.2及之前版本、3.0.0版本和3.0.1版本存在资源管理错误漏洞,该漏洞源于应用存在不受控制的资源消耗,经过身份验证的攻击者可利用该漏洞上传恶意ZIP可能会触发不受控制的资源消耗。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14775
2、Fortinet FortiPortal授权问题漏洞
Fortinet FortiPortal是美国飞塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP产品线的高级、功能丰富的托管安全分析和管理支持工具,可作为虚拟机供MSP使用。Fortinet FortiPortal存在授权问题漏洞,该漏洞源于存在不正确授权。攻击者可利用该漏洞通过修改请求负载来下载其他组织的报告。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14760
3、Linux kernel io_uring SQ/CQ函数拒绝服务漏洞
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在拒绝服务漏洞,该漏洞源于io_uring SQ/CQ函数中发现了越界内存访问,攻击者可利用该漏洞导致系统崩溃。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14769
4、IBM Integration Bus for z/OS跨站请求伪造漏洞
IBM Integration Bus(IBM WebSphere Message Broker)是美国国际商业机器(IBM)公司的一款企业服务总线(ESB)产品。该产品为面向服务架构(SOA)环境和非SOA环境提供连通性和通用数据转换。IBM Integration Bus for z/OS存在跨站请求伪造漏洞,攻击者可利用该漏洞执行从网站信任的用户传输的恶意和未经授权的操作。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14666
5、Adobe Experience Manager跨站脚本漏洞(CNVD-2024-14653)
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞将恶意脚本注入易受攻击的网页中。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14653
二、境内厂商产品漏洞
1、远秋医学在线考试系统存在SQL注入漏洞(CNVD-2023-19468)
重庆远秋科技有限公司是国内首家专业从事医学信息收集、医用数据库开发的大型情报服务机构。远秋医学在线考试系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19468
2、北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞(CNVD-2024-13697)
北京亿赛通科技发展有限责任公司是国内数据安全、网络安全及安全服务三大业务提供商。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13697
3、北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞(CNVD-2024-13698)
北京亿赛通科技发展有限责任公司是国内数据安全、网络安全及安全服务三大业务提供商。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-13698
4、Huawei HarmonyOS和EMUI音频模块配置缺陷漏洞
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI音频模块存在配置缺陷漏洞,攻击者可利用该漏洞导致拒绝服务。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14985
5、Huawei HarmonyOS VerifiedBoot模块鉴权错误漏洞
Huawei HarmonyOS是中国华为(Huawei)公司的一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS VerifiedBoot模块存在鉴权错误漏洞,攻击者可利用该漏洞影响系统完整性。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-14984
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
来源:CNVD漏洞平台