上周关注度较高的产品安全漏洞(20240617-20240623)

一、境外厂商产品漏洞

1****、Google Chrome代码执行漏洞（CNVD-2024-27330）****

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 126.0.6478.54之前版本存在代码执行漏洞，攻击者可利用该漏洞通过精心设计的HTML页面导致堆损坏。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27330

****2、****Siemens RUGGEDCOM CROSSBOW信息泄露漏洞

Siemens RUGGEDCOM CROSSBOW是德国西门子（Siemens）公司的一个经过验证的安全访问管理解决方案。Siemens RUGGEDCOM CROSSBOW存在信息泄露漏洞，该漏洞是由于受影响的系统可能允许在某些情况下将日志消息转发到特定的客户端。攻击者可利用此漏洞将日志消息转发到特定的受损客户端。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27526

****3、****Google Android信息泄露漏洞（CNVD-2024-27516）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在信息泄露漏洞，攻击者可利用此漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27516

****4、****Siemens PS/IGES Parasolid Translator组件类型混淆漏洞（CNVD-2024-27525）

Parasolild Translators是单格式翻译器工具包，用于Parasolid和几种行业格式（如STEP或IGES）之间的高速端到端翻译。Siemens PS/IGES Parasolid Translator组件存在类型混淆漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27525

****5、****Google Android权限提升漏洞（CNVD-2024-27513）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，该漏洞是由于多个位置的输入验证不正确。攻击者可利用此漏洞升级权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27513

**二、境内厂商产品漏洞
**

****1、****TOTOLINK CP900L loginAuth函数缓冲区溢出漏洞

TOTOLINK CP900L是中国吉翁电子（TOTOLINK）公司的一个无线路由器。TOTOLINK CP900L v4.1.5cu.798_B20221228版本存在缓冲区溢出漏洞，该漏洞源于loginAuth函数的password参数未能正确验证输入数据的长度大小，攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27554

****2、****北京星网锐捷网络技术有限公司RG-UAC 6000-E20C存在命令执行漏洞（CNVD-2024-24567）

RG-UAC 6000-E20C是一款上网行为管理与审计产品。北京星网锐捷网络技术有限公司RG-UAC 6000-E20C存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-24567

****3、****长沙友点软件科技有限公司YouDianCMS存在命令执行漏洞

YouDianCMS集电脑网站、手机网站、微信、APP、小程序于一体，共用空间，数据自动同步，是国内开源五站合一优秀解决方案。长沙友点软件科技有限公司YouDianCMS存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-62713

4****、北京星网锐捷网络技术有限公司NBR6210-E存在命令执行漏洞（CNVD-2024-24564）****

北京星网锐捷网络技术有限公司NBR6210-E是一款路由器产品。北京星网锐捷网络技术有限公司NBR6210-E存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-24564

****5、****用友网络科技股份有限公司用友NC存在XML实体注入漏洞

用友NC是一款大型erp企业管理系统与电子商务平台。用友网络科技股份有限公司用友NC存在XML实体注入漏洞，攻击者可利用漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23770

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。