熱門資訊> 正文
上周關注度較高的產品安全漏洞(20241202-20241208)
2024-12-13 10:51
一、境外廠商產品漏洞
1、NETGEAR XR300 usb_approve.cgi組件緩衝區溢出漏洞
NETGEAR XR300是美國網件(NETGEAR)公司的一款無線路由器。NETGEAR XR300 v1.0.3.78版本存在緩衝區溢出漏洞,該漏洞源於usb_approve.cgi組件中的addName%d參數未能正確驗證輸入數據的長度大小,遠程攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46811
2、Adobe Illustrato緩衝區溢出漏洞(CNVD-2024-46807)
Adobe Illustrator是美國奧多比(Adobe)公司的一套基於向量的圖像製作軟件。Adobe Illustrator存在安全漏洞,攻擊者可利用該漏洞在當前用户的上下文中執行任意代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46807
3、IrfanView PSP文件解析越界寫入遠程代碼執行漏洞
IrfanView是一款圖片瀏覽器。支持圖片瀏覽、圖片編輯、圖片格式轉換等。IrfanView PSP文件解析存在越界寫入遠程代碼執行漏洞,該漏洞是由於對用户提供的數據缺乏適當的驗證造成的,攻擊者可利用該漏洞在當前進程的上下文中執行代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46828
4、多款Mozilla產品代碼執行漏洞(CNVD-2024-46836)
Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客户端軟件。多款Mozilla產品存在代碼執行漏洞,該漏洞是由於下載.xrm ms文件時未能顯示可執行文件警告造成的。攻擊者可利用該漏洞繞過安全限制。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46836
5、IrfanView WBZ插件WB1堆棧文件解析緩衝區溢出遠程代碼執行漏洞
IrfanView是一款圖片瀏覽器。支持圖片瀏覽、圖片編輯、圖片格式轉換等。IrfanView WBZ插件WB1堆棧文件解析存在緩衝區溢出遠程代碼執行漏洞,該漏洞是由於在將用户提供的數據複製到堆棧的緩衝區之前,沒有對其長度進行適當的驗證造成的。攻擊者可利用該漏洞在當前進程的上下文中執行代碼。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46825
二、境內廠商產品漏洞
1、北京億賽通科技發展有限責任公司電子文檔安全管理系統存在SQL注入漏洞(CNVD-2024-46176)
電子文檔安全管理系統是一款可控授權的電子文檔安全共享管理系統,採用實時動態加解密保護技術和實時權限回收機制,提供對各類電子文檔內容級的安全保護。北京億賽通科技發展有限責任公司電子文檔安全管理系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46176
2、北京億賽通科技發展有限責任公司電子文檔安全管理系統存在SQL注入漏洞
電子文檔安全管理系統是一款可控授權的電子文檔安全共享管理系統,採用實時動態加解密保護技術和實時權限回收機制,提供對各類電子文檔內容級的安全保護。北京億賽通科技發展有限責任公司電子文檔安全管理系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-47305
3、全訊匯聚網絡科技(北京)有限公司愛快流控路由器存在信息泄露漏洞
愛快流控路由器是全訊匯聚網絡科技(北京)有限公司旗下路由器產品。全訊匯聚網絡科技(北京)有限公司愛快流控路由器存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46181
4、TP-LINK TL-WDR7660 rtRuleJsonTobin函數緩衝區溢出漏洞
TP-LINK TL-WDR7660是中國普聯(TP-LINK)公司的一款千兆路由器。TP-LINK TL-WDR7660 1.0版本存在緩衝區溢出漏洞,該漏洞源於rtRuleJsonTobin函數在處理參數字符串名稱時未進行檢查,遠程攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-47286
5、全訊匯聚網絡科技(北京)有限公司愛快流控路由器存在SQL注入漏洞
愛快流控路由器是全訊匯聚網絡科技(北京)有限公司旗下路由器產品。全訊匯聚網絡科技(北京)有限公司愛快流控路由器存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-46180
