上周关注度较高的产品安全漏洞(20240701-20240707)

上周关注度较高的产品安全漏洞(20240701-20240707)
2024-7-9 17:49:29 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

一、境外厂商产品漏洞

1、Sonatype Nexus Repository存在路径遍历漏洞

Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-28353

2、西门子（中国）有限公司多款产品存在拒绝服务漏洞（CNVD-2024-25231）

西门子（中国）有限公司是一家专注于电气化、自动化和数字化领域的企业。西门子（中国）有限公司多款产品存在拒绝服务漏洞，攻击者可利用漏洞导致设备处理异常而死机，手动重启PLC才能恢复。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25231

3、Mattermost信息泄露漏洞（CNVD-2024-30628）

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在信息泄露漏洞。攻击者可以利用该漏洞导致读取消息内容。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30628

4、IBM Db2用户枚举漏洞

IBM Db2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2 for i 7.2、7.3、7.4和7.5版本存在用户枚举漏洞，该漏洞源于user defined table函数对于有效用户和无效用户存在不同响应，攻击者可利用该漏洞收集有关用户的信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29665

5、Cybozu Garoon安全绕过漏洞（CNVD-2024-29666）

Cybozu Garoon是日本才望子（Cybozu）公司的一套门户型OA办公系统。该系统提供门户、E-mail、书签、日程安排、公告栏、文件管理等功能。Cybozu Garoon存在安全绕过漏洞，该漏洞源于对共享待办事项中的某些操作限制不当。攻击者可利用该漏洞删除Shared to Dos的数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29666

二、境内厂商产品漏洞

1、深圳学海云帆科技有限公司Readpaper存在XSS漏洞

ReadPaper是一个集翻译、阅读、搜索、管理等于一体的AI科研神器，支持多端同步，覆盖全学科的学术词汇和图谱，提供专业的AI润色和学术社区功能。深圳学海云帆科技有限公司Readpaper存在XSS漏洞，攻击者可利用漏洞获取用户cookie等敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25226

2、用友网络科技股份有限公司NC Cloud存在SQL注入漏洞

NC Cloud是一款大型企业数字化平台，支持公有云、混合云、专属云的灵活部署模式。用友网络科技股份有限公司NC Cloud存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25234

3、TP-LINK ER7206命令执行漏洞

TP-LINK ER7206是中国普联（TP-LINK）公司的一款多功能千兆路由器。TP-Link ER7206 Omada Gigabit VPN Router 1.4.1 Build 20240117版本存在命令执行漏洞，该漏洞源于存在残留调试代码，攻击者可利用该漏洞通过特制的网络请求可导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30632

4、北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞（CNVD-2024-25582）

数据泄露防护(DLP)系统是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据安全产品。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25582

5、TP-LINK AX1500操作系统命令注入漏洞

TP-LINK AX1500是中国普联（TP-LINK）公司的一个调制解调器。TP-LINK AX1500存在操作系统命令注入漏洞，该漏洞源于操作系统命令中使用的特殊元素的不当中和，攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30638

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247523449&idx=3&sn=8866030f307324e169f20091496ee431&chksm=ce461769f9319e7f68ab31930a04c711237a4663af24c612a67077cdc92435901ae63e6ddf1d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh