0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20250127-20250209)


一、境外厂商产品漏洞

1、Microsoft Message Queuing拒绝服务漏洞

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。

Microsoft Message Queuing存在安全漏洞。攻击者可利用该漏洞导致系统拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02135

2、Dell BIOS缓冲区溢出漏洞

Dell BIOS是美国戴尔(Dell)公司的一个计算机主板上小型内存芯片上的嵌入式软件。

Dell BIOS存在安全漏洞。攻击者利用该漏洞导致系统拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02575

3、Magma堆栈缓冲区溢出漏洞

Magma是Magma开源的一个开源软件平台。为网络运营商提供开放、灵活和可扩展的移动核心网络解决方案。

Magma存在堆栈缓冲区溢出漏洞,攻击者可利用该漏洞通过发送包含超大“Emergency Number List”信息元素的NAS数据包,使MME与未经身份验证的手机崩溃。

参考链接:http://cnvd.org.cn/flaw/show/CNVD-2025-02447

4、Siemens Tecnomatix Plant Simulation缓冲区错误漏洞

Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的一个工控设备。利用离散事件仿真的强大功能进行生产量分析和优化,进而改善制造系统性能。

Tecnomatix Plant Simulation 16.0.5之前版本存在缓冲区错误漏洞。该漏洞源于程序解析SPP文件时,PlantSimCore.dll库缺少对用户提供的数据的正确验证。攻击者可利用漏洞导致内存损坏。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02601

5、IBM Cognos Controller和IBM Controller信任管理问题漏洞

IBM Cognos Controller是美国国际商业机器(IBM)公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。

IBM Cognos Controller和IBM Controller存在信任管理问题漏洞,该漏洞源于证书验证不当,攻击者可利用该漏洞获取有效令牌,从而访问受保护的资源。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02545

二、境内厂商产品漏洞

1、深圳市蓝凌软件股份有限公司蓝凌OA存在任意文件读取漏洞

蓝凌OA是一款智能办公自动化系统,旨在帮助企业实现高效、智能的办公管理。

深圳市蓝凌软件股份有限公司蓝凌OA存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-01410

2、畅捷通信息技术股份有限公司畅捷通T+存在目录遍历漏洞

畅捷通T+是一款灵动、智慧、时尚的互联网管理软件,主要针对中小型工贸和商贸企业的财务业务一体化应用,融入了社交化、移动化、物联网、电子商务、互联网信息订阅等元素。

畅捷通信息技术股份有限公司畅捷通T+存在目录遍历漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-01411

3、Huawei Myna输入验证错误漏洞

Huawei Myna是中国华为(Huawei)公司的一款智能音箱。

Huawei Myna存在输入验证错误漏洞,该漏洞源于某模块在某种场景下没有对输入进行充分完整性校验。攻击者可利用该漏洞影响设备的正常服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02557

4、WAVLINK AC3000 internet.cgi set_add_routing函数缓冲区溢出漏洞

WAVLINK AC3000是中国睿因(WAVLINK)公司的一个无线路由器。

WAVLINK AC3000 M33A8.V5030.210505版本存在缓冲区溢出漏洞,该漏洞源于internet.cgi set_add_routing函数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02540

5、D-Link DIR-816A2 formDMZ.cgi组件访问控制错误漏洞

D-Link DIR-816A2是中国友讯(D-Link)公司的一款路由器。

D-Link DIR-816A2存在访问控制错误漏洞,该漏洞源于formDMZ.cgi组件的访问控制不当,攻击者可利用该漏洞通过特制POST请求设置DMZ服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2025-02531


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号