上周关注度较高的产品安全漏洞(20241118-20241124)
2024-11-25 17:4:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、境外厂商产品漏洞

1、Google Android权限提升漏洞(CNVD-2024-45234)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于PackageManagerService.java的setMimeGroup代码中的逻辑错误,攻击者可利用此漏洞升级权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45234

2、Google Android权限提升漏洞(CNVD-2024-45225)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于在CreateofSettingsHomepageActivity.java中缺少权限检查造成的,攻击者可利用此漏洞在系统上获得更高的权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45225

3、Google Android权限提升漏洞(CNVD-2024-45232)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于ParcelableListBinder.java的onDransact中的代码存在逻辑错误,攻击者可利用此漏洞升级权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45232

4、Siemens Solid Edge越界读取漏洞(CNVD-2024-45218)

Solid Edge是一个软件工具组合,可解决各种产品开发过程:3D设计,仿真,制造和设计管理。Siemens Solid Edge存在越界读取漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45218

5、Cisco Identity Services Engine Web接口跨站脚本漏洞(CNVD-2024-45296)

Cisco Identity Services Engine是美国思科(Cisco)公司的一款环境感知平台。Cisco Identity Services Engine WEB接口存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45296

二、境内厂商产品漏

1、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在未授权访问漏洞

电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45482

2、D-Link DSL6740C使用特权API不正确漏洞

D-Link DSL6740C是中国友讯(D-Link)公司的一款无线VDSL路由器。D-Link DSL6740C存在安全漏洞,攻击者可利用此漏洞可通过特定API修改任意用户密码后来登入Web、SSH及Telnet等服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45432

3、D-Link DSL6740C操作系统命令注入漏洞(CNVD-2024-45428)

D-Link DSL6740C是中国友讯(D-Link)公司的一款无线VDSL路由器。D-Link DSL6740C存在操作系统命令注入漏洞,攻击者可利用该漏洞在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45428

4、D-Link DSL6740C操作系统命令注入漏洞(CNVD-2024-45429)

D-Link DSL6740C是中国友讯(D-Link)公司的一款无线VDSL路由器。D-Link DSL6740C存在操作系统命令注入漏洞,具有管理员权限的远程攻击者可利用此漏洞通过SSH和Telnet提供的特定功能注入和执行任意系统命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45429

5、D-Link DSL6740C路径遍历漏洞

D-Link DSL6740C是中国友讯(D-Link)公司的一款无线VDSL路由器。D-Link DSL6740C存在路径遍历漏洞,该漏洞源于程序未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞导致任意文件读取。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-45433

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247495521&idx=2&sn=4069536b30f554d918f90e57ea5cc152&chksm=fd74dfa8ca0356bed98817494ed18b727fe3235c8b8ff77f0cab76eac3e5308c9b48f05e150a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh