上周关注度较高的产品安全漏洞(20241202-20241208)
2024-12-10 09:19:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

一、境外厂商产品漏洞

1、NETGEAR XR300 usb_approve.cgi组件缓冲区溢出漏洞

NETGEAR XR300是美国网件(NETGEAR)公司的一款无线路由器。NETGEAR XR300 v1.0.3.78版本存在缓冲区溢出漏洞,该漏洞源于usb_approve.cgi组件中的addName%d参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46811

2、Adobe Illustrato缓冲区溢出漏洞(CNVD-2024-46807)

Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在安全漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46807

3、IrfanView PSP文件解析越界写入远程代码执行漏洞

IrfanView是一款图片浏览器。支持图片浏览、图片编辑、图片格式转换等。IrfanView PSP文件解析存在越界写入远程代码执行漏洞,该漏洞是由于对用户提供的数据缺乏适当的验证造成的,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46828

4、多款Mozilla产品代码执行漏洞(CNVD-2024-46836)

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox(Web浏览器)的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。多款Mozilla产品存在代码执行漏洞,该漏洞是由于下载.xrm ms文件时未能显示可执行文件警告造成的。攻击者可利用该漏洞绕过安全限制。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46836

5、IrfanView WBZ插件WB1堆栈文件解析缓冲区溢出远程代码执行漏洞

IrfanView是一款图片浏览器。支持图片浏览、图片编辑、图片格式转换等。IrfanView WBZ插件WB1堆栈文件解析存在缓冲区溢出远程代码执行漏洞,该漏洞是由于在将用户提供的数据复制到堆栈的缓冲区之前,没有对其长度进行适当的验证造成的。攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46825

二、境内厂商产品漏

1、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-46176)

电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46176

2、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞

电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47305

3、全讯汇聚网络科技(北京)有限公司爱快流控路由器存在信息泄露漏洞

爱快流控路由器是全讯汇聚网络科技(北京)有限公司旗下路由器产品。全讯汇聚网络科技(北京)有限公司爱快流控路由器存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46181

4、TP-LINK TL-WDR7660 rtRuleJsonTobin函数缓冲区溢出漏洞

TP-LINK TL-WDR7660是中国普联(TP-LINK)公司的一款千兆路由器。TP-LINK TL-WDR7660 1.0版本存在缓冲区溢出漏洞,该漏洞源于rtRuleJsonTobin函数在处理参数字符串名称时未进行检查,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47286

5、全讯汇聚网络科技(北京)有限公司爱快流控路由器存在SQL注入漏洞

爱快流控路由器是全讯汇聚网络科技(北京)有限公司旗下路由器产品。全讯汇聚网络科技(北京)有限公司爱快流控路由器存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-46180

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDk0MDgxMw==&mid=2247499522&idx=2&sn=fa8b9737d4181e218c2ee200ec329bc0&chksm=973acc60a04d4576fb683cae96f216d3a733a43601e8b23e71f8f54b8c9a2dc0f953385dfbec&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh