网络与信息安全情况通报
2024年第8期
第四师可克达拉市网络与信息安全信息通报中心 2024年1月25日
一、境外厂商产品漏洞
1、Adobe Experience Manager跨站脚本漏洞(CNVD-2024-02979)
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager 6.5.18.0版本及之前版本存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02979
2、Adobe Experience Manager跨站脚本漏洞(CNVD-2024-02978)
Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02978
3、Google Android代码执行漏洞(CNVD-2024-02336)
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在代码执行漏洞,该漏洞是由eatt_impl.h的eatt_l2cap_reconfig_completed中的越界写入引起的。攻击者可利用此漏洞在系统上执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02336
4、Google Android信息泄露漏洞(CNVD-2024-02313)
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02313
5、TRENDnet TV-IP1314PI命令注入漏洞
TRENDnet TV-IP1314PI是美国趋势网络(TRENDnet)公司的一款无线网络摄像机。TRENDnet TV-IP1314PI存在命令注入漏洞,该漏洞源于davinci使用system函数解包语言包,没有对URL字符串进行严格过滤,攻击者可利用此漏洞导致命令注入。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02733
二、境内厂商产品漏洞
1、Tenda AX1803缓冲区溢出漏洞(CNVD-2024-02217)
Tenda AX1803是中国腾达(Tenda)公司的一款双频千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在缓冲区溢出漏洞,攻击者可利用该漏洞通过使用iptv.stb.mode参数发送特制的HTTP请求在系统上执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-02217
2、TOTOLINK N350RT v8参数缓冲区溢出漏洞
TOTOLINK N350RT是中国吉翁电子(TOTOLINK)公司的一款小型家用路由器。TOTOLINK N350RT 9.3.5u.6139_B20201216版本存在缓冲区溢出漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的main函数的参数v8未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-04918
3、TOTOLINK N200RE NTPSyncWithHost函数操作系统命令注入漏洞
TOTOLINK N200RE是中国吉翁电子(TOTOLINK)公司的一个路由器。TOTOLINK N200RE 9.3.5u.6139_B20201216版本存在操作系统命令注入漏洞,该漏洞源于对/cgi-bin/cstecgi.cgi页面的NTPSyncWithHost函数的host_time参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-04920
4、珠海企盈信息技术有限公司建果云-工程数字化云平台存在未授权访问漏洞
珠海企盈信息技术有限公司专注工程建设行业数智化SaaS平台(建果云)的研发与运营服务。珠海企盈信息技术有限公司建果云-工程数字化云平台存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-00735
5、北京超图软件股份有限公司SuperMap iPortal存在命令执行漏洞
SuperMap iPortal是面向云计算的GIS门户平台,可实现对地图、服务、场景、数据等各种GIS资源进行整合、发现、分享与管理,还可实现对组织内部多个GIS服务器进行监控,保障平台系统安全稳定运行。北京超图软件股份有限公司SuperMap iPortal存在命令执行漏洞,攻击者可利用该漏洞获取服务器管理权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-35909
主办:第四师可克达拉市 承办:新疆兵团第四师可克达拉市政务服务中心
联系电话:0999-8182112 技术支持:0999-8189463
版权所有 Copyright @ 2013 第四师可克达拉市 All Rights Reserve
网站标识码 BT04000002 新ICP备17002193号-1
公网安备66040002000102
