上周关注度较高的产品安全漏洞(20240708-20240714)

一、境外厂商产品漏洞

1、Siemens SIPROTEC 5 devices弱加密漏洞

SIPROTEC 5 devices为变电站和其他应用领域提供一系列集成保护、控制、测量和自动化功能。Siemens SIPROTEC 5 devices存在弱加密漏洞，该漏洞是由于受影响的设备在多个端口上支持弱密码（443/tcp用于web，4443/tcp用于DIGSI 5，可配置端口用于TLS上的syslog）。攻击者可利用该漏洞能够读取和修改传递到这些端口和从这些端口传递的任何数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31243

2、Siemens Teamcenter Visualization和JT2Go越界读取漏洞（CNVD-2024-31244）

Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2Go是一款JT文件查看器。Siemens Teamcenter Visualization和JT2Go存在越界读取漏洞，攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31244

3、IBM WebSphere Application Server代码执行漏洞（CNVD-2024-31485）

IBM WebSphere Application Server是美国国际商业机器（IBM）公司的一款应用服务器产品。IBM WebSphere Application Server存在代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31485

4、Rockwell Automation FactoryTalk View SE身份验证错误漏洞

Rockwell Automation FactoryTalk View SE是美国罗克韦尔（Rockwell Automation）公司的一款工业自动化系统视图界面。Rockwell Automation FactoryTalk View SE存在身份验证错误漏洞，攻击者可利用该漏洞从具有FTView的远程系统向客户的服务器发送数据包以查看HMI项目。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-30884

5、Dell PowerProtect Data Domain资源控制不当漏洞

Dell PowerProtect Data Domain是美国戴尔（Dell）公司的一套用于数据保护、备份、存储和重复数据消除的硬件设备。Dell PowerProtect Data Domain存在资源控制不当漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31084

二、境内厂商产品****漏洞

1、北京星网锐捷网络技术有限公司NBR6135-E存在命令执行漏洞

NBR6135-E是一款路由器。北京星网锐捷网络技术有限公司NBR6135-E存在命令执行漏洞，攻击者可利用漏洞执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25968

2、Huawei HarmonyOS和EMUI锁屏模块权限管理漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI锁屏模块存在权限管理漏洞，攻击者可利用该漏洞导致可用性受影响。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31074

3、Huawei HarmonyOS和EMUI拒绝服务漏洞（CNVD-2024-31073）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在拒绝服务漏洞，该漏洞是由电机模块中的输入参数验证引起的。攻击者可利用此漏洞影响可用性。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31073

4、北京星网锐捷网络技术有限公司NBR6210-E存在命令执行漏洞（CNVD-2024-26904）

NBR6210-E是一款路由器产品。北京星网锐捷网络技术有限公司NBR6210-E存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26904

5、Huawei HarmonyOS和EMUI存在拒绝服务漏洞（CNVD-2024-31076）

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在拒绝服务漏洞，该漏洞是由控制面板模块设计过程中引入的缺陷漏洞引起的。攻击者可利用该漏洞导致应用程序进程错误启动。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-31076

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。