上周关注度较高的产品安全漏洞(20241125-20241201)
2024-12-3 09:15:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

一、境外厂商产品漏洞

1、Google Pixel gsc_gsa.c文件缓冲区溢出漏洞

Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在缓冲区溢出漏洞,该漏洞源于gsc_gsa.c的gsc_gsa_rescue中边界检查不正确,攻击者可利用该漏洞导致越界读取。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45883

2、Siemens Tecnomatix Plant Simulation越界写入漏洞(CNVD-2024-45988)

Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的一个工控设备。利用离散事件仿真的功能进行生产量分析和优化,进而改善制造系统性能。Siemens Tecnomatix Plant Simulation存在越界写入漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45988

3、Google Pixel virtio_ring.h文件整数溢出漏洞

Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在整数溢出漏洞,该漏洞源于external/headers/include/virtio/virtio_ring.h的vring_size中整数溢出,攻击者可利用该漏洞导致越界写入。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45890

4、Siemens Tecnomatix Plant Simulation越界读取漏洞(CNVD-2024-45994)

Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的一个工控设备。利用离散事件仿真的功能进行生产量分析和优化,进而改善制造系统性能。Siemens Tecnomatix Plant Simulation存在越界读取漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45994

5、Google Pixel trusty_shared_memory_manager.cc文件缓冲区溢出漏洞

Google Pixel是美国谷歌(Google)公司的一款智能手机。Google Pixel存在缓冲区溢出漏洞,该漏洞源于在ondevice/trusty/trusty_shared_memory_manager.cc的TrustySharedMemoryManager::GetSharedMemory中边界检查不正确,攻击者可利用该漏洞导致越界读取。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45889

二、境内厂商产品漏

1、D-LINK DI-8400远程命令执行漏洞

D-LINK DI-8400是美国D-Link公司的一款路由器设备,用于家庭和小型企业的网络连接。D-LINK DI-8400 v16.07.26A1版本中的msp_info_htm函数通过flag和cmd参数存在多个远程命令执行漏洞。远程攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46256

2、厦门四信通信科技有限公司设备管理平台存在未授权访问漏洞

厦门四信通信科技有限公司是全球领先的物联网通信设备及解决方案服务提供商。厦门四信通信科技有限公司设备管理平台存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46578

3、帆软软件有限公司帆软报表存在文件上传漏洞

帆软报表是一款纯Java编写的、集数据展示(报表)和数据录入(表单)功能于一身的企业级web报表工具。帆软软件有限公司帆软报表存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45455

4、广州恒企教育科技有限公司HkCms文件上传漏洞

HkCms是广州恒企教育科技有限公司开源的一款免费开源内容管理系统。广州恒企教育科技有限公司HkCms存在文件上传漏洞,该漏洞源于在/app/common/library/Upload.php中的getFileName方法中存在文件上传漏洞。攻击者可利用该漏洞上传并执行恶意文件,从而获取或破坏系统数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46246

5、D-Link DI-8400 arp_sys_asp缓冲区溢出漏洞

D-Link DI-8400是中国友讯(D-Link)公司的一款无线路由器。D-Link DI-8400 arp_sys_asp存在缓冲区溢出漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可使服务程序崩溃或以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46395

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDk0MDgxMw==&mid=2247499505&idx=2&sn=ef3fadc3bc76fc795be2bb777d46dcb3&chksm=973acd93a04d4485d13fc8007fa42d7ab73fb65f43d5cf792bb58ef2889b145fa6a5d1e7eea6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh