上周关注度较高的产品安全漏洞(20240603-20240609)

一、境外厂商产品漏洞

1****、Adobe Commerce资源管理错误漏洞（CNVD-2024-25603）****

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce 2.4.7版本之前存在资源管理错误漏洞，该漏洞源于受到不受控制的资源消耗漏洞的影响，攻击者可利用该漏洞导致轻微的应用程序拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25603

****2、****WordPress Boostify Header Footer Builder for Elementor plugin跨站脚本漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Boostify Header Footer Builder for Elementor 1.3.2版本及之前版本存在跨站脚本漏洞，该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者利用该漏洞可以通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26457

****3、****Mozilla Firefox for iOS安全绕过漏洞（CNVD-2024-25613）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox for iOS存在安全绕过漏洞，该漏洞是由于拖动到地址栏时加载Javascript URL造成的。攻击者可利用该漏洞绕过限制和安全保护。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25613

****4、****Microsoft OLE DB Driver for SQL Server远程代码执行漏洞（CNVD-2024-25653）

Microsoft OLE DB Driver for SQL Server是独立的数据访问应用程序编程接口 (API)，用于OLE DB。Microsoft OLE DB Driver for SQL Server存在远程代码执行漏洞，攻击者可利用该漏洞通过说服受害者打开特制的内容，在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25653

****5、****Adobe Commerce输入验证错误漏洞（CNVD-2024-25611）

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在输入验证错误漏洞，该漏洞源于不正确输入验证。经过身份验证的攻击者可以在`V1/customers/me`端点中触发不安全的直接对象引用，以实现信息公开和权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25611

二、境内厂商产品****漏洞

****1、****北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞

亿赛通数据泄露防护系统(DLP)是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据安全产品。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23009

****2、****普元信息技术股份有限公司微服务平台存在命令执行漏洞

普元信息技术股份有限公司是国内软件基础平台（中间件）专业提供商，主要为金融、政务、能源、电信、制造业等行业客户，提供创新可靠的软件基础平台产品及相应技术服务。普元信息技术股份有限公司微服务平台存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23838

****3、****浙江大华技术股份有限公司智慧园区综合管理平台存在任意文件下载漏洞（CNVD-2024-23621）

浙江大华技术股份有限公司，是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在任意文件下载漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23621

****4、****西安瑞友信息技术资讯有限公司瑞友天翼应用虚拟化系统存在SQL注入漏洞（CNVD-2024-23827）

瑞友天翼应用虚拟化系统是国内具有自主知识产权的应用虚拟化平台，是基于服务器计算（Server-based Computing）的应用虚拟化平台。西安瑞友信息技术资讯有限公司瑞友天翼应用虚拟化系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23827

****5、****Tenda F1203 setSchedWifi方法缓冲区溢出漏洞

Tenda F1203是中国腾达（Tenda）公司的一款无线路由器。Tenda F1203 2.0.1.6版本存在缓冲区溢出漏洞，该漏洞源于/goform/openSchedWifi文件的setSchedWifi方法的schedStartTime/schedEndTime参数未能正确验证输入数据的长度大小，远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26333

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。