长亭百川云 - 文章详情

上周关注度较高的产品安全漏洞(20240701-20240707)

国家互联网应急中心CNCERT

59

2024-07-13

一、境外厂商产品漏洞

1、Sonatype Nexus Repository存在路径遍历漏洞

Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-28353

2、西门子(中国)有限公司多款产品存在拒绝服务漏洞(CNVD-2024-25231)

西门子(中国)有限公司是一家专注于电气化、自动化和数字化领域的企业。西门子(中国)有限公司多款产品存在拒绝服务漏洞,攻击者可利用漏洞导致设备处理异常而死机,手动重启PLC才能恢复。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25231

3、Mattermost信息泄露漏洞(CNVD-2024-30628)

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在信息泄露漏洞。攻击者可以利用该漏洞导致读取消息内容。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30628

4、IBM Db2用户枚举漏洞

IBM Db2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2 for i 7.2、7.3、7.4和7.5版本存在用户枚举漏洞,该漏洞源于user defined table函数对于有效用户和无效用户存在不同响应,攻击者可利用该漏洞收集有关用户的信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29665

5、Cybozu Garoon安全绕过漏洞(CNVD-2024-29666)

Cybozu Garoon是日本才望子(Cybozu)公司的一套门户型OA办公系统。该系统提供门户、E-mail、书签、日程安排、公告栏、文件管理等功能。Cybozu Garoon存在安全绕过漏洞,该漏洞源于对共享待办事项中的某些操作限制不当。攻击者可利用该漏洞删除Shared to Dos的数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29666

二、境内厂商产品漏洞

1、深圳学海云帆科技有限公司Readpaper存在XSS漏洞

ReadPaper是一个集翻译、阅读、搜索、管理等于一体的AI科研神器,支持多端同步,覆盖全学科的学术词汇和图谱,提供专业的AI润色和学术社区功能。深圳学海云帆科技有限公司Readpaper存在XSS漏洞,攻击者可利用漏洞获取用户cookie等敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25226

2、用友网络科技股份有限公司NC Cloud存在SQL注入漏洞

NC Cloud是一款大型企业数字化平台,支持公有云、混合云、专属云的灵活部署模式。用友网络科技股份有限公司NC Cloud存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25234

3、TP-LINK ER7206命令执行漏洞

TP-LINK ER7206是中国普联(TP-LINK)公司的一款多功能千兆路由器。TP-Link ER7206 Omada Gigabit VPN Router 1.4.1 Build 20240117版本存在命令执行漏洞,该漏洞源于存在残留调试代码,攻击者可利用该漏洞通过特制的网络请求可导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30632

4、北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞(CNVD-2024-25582)

数据泄露防护(DLP)系统是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据安全产品。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25582

5、TP-LINK AX1500操作系统命令注入漏洞

TP-LINK AX1500是中国普联(TP-LINK)公司的一个调制解调器。TP-LINK AX1500存在操作系统命令注入漏洞,该漏洞源于操作系统命令中使用的特殊元素的不当中和,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30638

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2