紫光软件系统有限公司、浙江大华技术股份有限公司、有智有爱（湖北）医药科技有限公司、用友网络科技股份有限公司、小米科技有限责任公司、武汉良师在线教育科技有限公司、无锡信捷电气股份有限公司、通州区华丽软件工作室、天津蓝点软件开发有限公司、天津环球磁卡集团有限公司、天健软件（常州）有限公司、腾讯安全应急响应中心、深圳市紫光照明技术股份有限公司、深圳勤杰软件有限公司、深圳力维智联技术有限公司、上海穆云智能科技有限公司、上海灵当信息科技有限公司、上海九翊软件科技有限公司、上海华测导航技术股份有限公司、上海布雷德科技有限公司、上海艾泰科技有限公司、山东点狮信息科技有限公司、莆田市飞悦科技有限公司、南京云网汇联软件技术有限公司、迈安德集团有限公司、龙采科技集团有限责任公司、联想安全实验室、科华数据股份有限公司、济南博观智能科技有限公司、河南德尔康药业有限公司、杭州海康威视数字技术股份有限公司、广西天生创想信息技术有限公司、广东保伦电子股份有限公司、懂微信息技术（上海）有限公司、东莞市宇腾信息科技有限公司、畅捷通信息技术股份有限公司、禅道软件（青岛）有限公司、北京中广上洋科技股份有限公司、北京星网锐捷网络技术有限公司、北京小米科技有限责任公司、北京网际思安科技有限公司、北京神州视翰科技有限公司、北京南琼电子有限责任公司、北京九思协同软件有限公司、北京金和网络股份有限公司、北京宏景世纪软件股份有限公司、百望股份有限公司和安徽银通物联有限公司。

本周，CNVD发布了《关于VMware vCenter Server存在堆溢出漏洞的安全公告》，详情参见CNVD网站公告内容（https://www.cnvd.org.cn/webinfo/show/10536）。

本周漏洞按类型和厂商统计

图6 本周漏洞按影响类型分布

1、IBM产品安全漏洞

IBM MQ（IBM WebSphere MQ）是美国国际商业机器（IBM）公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。IBM MQ Operator是美国国际商业机器（IBM）公司的一种用于管理IBM MQ队列管理器生命周期的工具。IBM QRadar Suite是美国国际商业机器（IBM）公司的一款集成式的安全信息与事件管理（SIEM）解决方案，用于监控和分析组织中的网络活动以检测潜在的安全威胁。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在某些配置下提升其权限，进行拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM MQ拒绝服务漏洞（CNVD-2024-41243、CNVD-2024-41245）、IBM MQ信息泄露漏洞（CNVD-2024-41242、CNVD-2024-41244）、IBM MQ权限提升漏洞（CNVD-2024-41246）、IBM MQ Operator信息泄露漏洞、IBM QRadar Suite日志信息泄露漏洞（CNVD-2024-41251、CNVD-2024-41250）。其中，“IBM MQ权限提升漏洞（CNVD-2024-41246）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41243

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41242

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41245

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41244

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41246

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41248

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41251

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41250

2、Cisco产品安全漏洞

Cisco Catalyst Center（Cisco DNA Center）是美国思科（Cisco）公司的一个网络管理系统。Cisco Nexus Dashboard Fabric Controller是美国思科（Cisco）公司的一种用于管理Cisco NX-OS部署的综合网络管理平台，适用于数据中心的LAN、SAN和IP Fabric for Media (IPFM) 网络。Cisco IOS XE Software是美国思科（Cisco）公司的一个操作系统。用于企业有线和无线访问，汇聚，核心和WAN的单一操作系统，Cisco IOS XE降低了业务和网络的复杂性。Cisco Secure Endpoint（Cisco AMP for Endpoints）是美国思科（Cisco）公司的一套集成了静态和动态恶意软件分析以及威胁情报于一体的终端应用程序。Cisco Duo是美国思科（Cisco）公司的一个完全托管的解决方案。提供对您的应用程序和数据的安全访问。Cisco IP Phone是美国思科（Cisco）公司的一个硬件设备，提供通话功能的IP电话。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃取有效的用户凭据，导致设备重新加载，从而导致DoS情况，在受影响的设备上执行任意代码等。

CNVD收录的相关漏洞包括：Cisco Catalyst Center信任管理问题漏洞、Cisco Nexus Dashboard Fabric Controller代码执行漏洞、Cisco IOS XE Software资源管理错误漏洞（CNVD-2024-41618）、Cisco IOS XE Software跨站请求伪造漏洞、Cisco IOS XE Software缓冲区溢出漏洞（CNVD-2024-41616）、Cisco Secure Endpoint缓冲区溢出漏洞、Cisco Duo身份验证绕过漏洞、Cisco IP Phone拒绝服务漏洞（CNVD-2024-41620）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41614

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41613

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41618

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41617

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41616

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41622

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41621

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41620

3、Adobe产品安全漏洞

Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Animate堆栈缓冲区溢出漏洞（CNVD-2024-41254）、Adobe Animate堆缓冲区溢出漏洞（CNVD-2024-41256）、Adobe Animate空指针解引用漏洞（CNVD-2024-41258）、Adobe Animate内存错误引用漏洞（CNVD-2024-41260）、Adobe Animate整数溢出或环绕漏洞、Adobe Animate内存错误引用漏洞（CNVD-2024-41262、CNVD-2024-41261、CNVD-2024-41263）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41254

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41256

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41258

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41260

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41259

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41262

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41261

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41263

4、Apache产品安全漏洞

Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache Lucene是美国阿帕奇（Apache）基金会的一个免费的开源搜索引擎软件库。Apache Solr是美国阿帕奇（Apache）基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产品支持层面搜索、垂直搜索、高亮显示搜索结果等。Apache Helix是美国阿帕奇（Apache）基金会的一个通用集群管理框架。用于自动管理托管在节点集群上的分区、复制和分布式资源。Apache Seata是一款开源的分布式事务解决方案，致力于在微服务架构下提供高性能和简单易用的分布式事务服务。Apache Avro是美国阿帕奇（Apache）基金会的一个数据序列化系统。为 Apache Hadoop 提供数据序列化和数据交换服务。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在会话过期前访问已登出用户账户的资源，获取主机文件系统的访问权限，导致资源完整性和机密性受损、数据丢失、拒绝服务以及托管在CloudStack上的KVM基础设施的可用性问题，导致代码执行等。

CNVD收录的相关漏洞包括：Apache CloudStack代码问题漏洞、Apache CloudStack输入验证错误漏洞（CNVD-2024-41660）、Apache Lucene反序列化漏洞、Apache Solr身份验证错误漏洞、Apache CloudStack跨站请求伪造漏洞（CNVD-2024-41663）、Apache Helix信任管理问题漏洞、Apache Seata反序列化漏洞、Apache Avro代码问题漏洞（CNVD-2024-41667）。其中，除“Apache CloudStack代码问题漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41662

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41660

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41665

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41664

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41663

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41669

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41668

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41667

5、OpenHIS SQL注入漏洞

OpenHIS是中国新致（OpenHIS）公司的一个基于web的医院管理应用程序。本周，OpenHIS被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-41485

小结：本周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在某些配置下提升其权限，进行拒绝服务攻击等。此外，Cisco、Adobe、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞窃取有效的用户凭据，导致设备重新加载，从而导致DoS情况，在受影响的设备上执行任意代码等。另外，penHIS被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。