上周关注度较高的产品安全漏洞(20240923-20240929)
2024-9-30 17:14:36 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、境外厂商产品漏洞

1、Microsoft SQL Server远程代码执行漏洞(CNVD-2024-38793)

Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。Microsoft SQL Server存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38793

2、Apache Hertzbeat SQL注入漏洞

Hertzbeat是一个开源的实时监控系统。Hertzbeat 1.6.0之前版本存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39584

3、Google Chrome越界写入漏洞(CNVD-2024-38803)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在越界写入漏洞,该漏洞是由于V8中的越界写入引起的。攻击者可利用此漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38803

4、Apache IoTDB服务器端请求伪造漏洞

Apache IoTDB是美国阿帕奇(Apache)基金会的一款为时间序列数据设计的集成数据管理引擎,它能够提供数据收集、存储和分析服务等。Apache IoTDB存在服务器端请求伪造漏洞,该漏洞源于产品未能正确验证用户输入,攻击者可利用该漏洞探测服务器内网资源。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39153

5、Microsoft SQL Server远程代码执行漏洞(CNVD-2024-38792)

Microsoft SQL Server是美国微软(Microsoft)公司的一套应用在Microsoft Windows系统下的大型商业数据库系统。Microsoft SQL Server存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38792

二、境内厂商产品漏洞

1、北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-37771)

亿赛通电子文档安全管理系统是一款电子文档安全防护软件,该系统利用驱动层透明加密技术,通过对电子文档的加密保护,防止内部员工泄密和外部人员非法窃取企业核心重要数据资产。北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-37771

2、北京美特软件技术有限公司MetaCRM6客户关系管理系统存在命令执行漏洞

北京美特软件技术有限公司是一家以从事科技推广和应用服务业为主的企业。北京美特软件技术有限公司MetaCRM6客户关系管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38176

3、DataEase XML外部实体注入漏洞

DataEase是一款轻量级、高性能的自助式数据可视化分析工具,它可以帮助用户快速探索和理解复杂数据,提供实时的数据分析和报表生成能力,支持多种数据源,旨在提升数据分析效率和用户体验。DataEase存在XML外部实体注入漏洞。攻击者可利用该漏洞利用不当的XML外部实体引用限制,通过构造恶意的XML请求来触发服务器执行不受控制的HTTP请求,进而读取服务器本地敏感文件、泄露系统信息或执行拒绝服务攻击,从而对系统的安全性和稳定性造成严重影响。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39252

4、DataEase远程命令执行漏洞(CNVD-2024-39251)

DataEase是一款高性能、易用的自助式数据可视化分析工具,帮助用户快速探索、理解和分享数据洞察。DataEase存在远程命令执行的漏洞,攻击者可以利用该漏洞利用代码注入漏洞,通过向应用程序输入恶意构造的数据,实现对系统执行非授权的指令或访问未授权的数据,从而对系统的安全性造成威胁。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-39251

5、润申标准化技术服务(上海)有限公司企业标准化管理系统存在SQL注入漏洞

润申标准化技术服务(上海)有限公司是一家以从事专业技术服务业为主的企业。润申标准化技术服务(上海)有限公司企业标准化管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38505

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


文章来源: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247495340&idx=2&sn=566b5c7a05d1154964e8b138ed472b94&chksm=fd74de65ca0357735a4e9ed1af74e892e8217e688e8338bf4ce7c2dffed774f433507a9f72af&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh