一、境外厂商产品漏洞
1、IBM Security Guardium操作系统命令注入漏洞(CNVD-2024-11735)
IBM Security Guardium是美国国际商业机器(IBM)公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Security Guardium Key Lifecycle Manager存在操作系统命令注入漏洞,经过身份验证的远程攻击者可利用该漏洞通过发送特制请求来在系统上执行任意命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-11735
2、Microsoft Win32K权限提升漏洞(CNVD-2024-11164)
Microsoft Win32k是美国微软(Microsoft)公司的一个用于Windows多用户管理的系统文件。Microsoft Win32K存在权限提升漏洞,攻击者可利用该漏洞在系统上获得提升的权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-11164
3、Microsoft Visual Studio权限提升漏洞(CNVD-2024-11163)
Microsoft Visual Studio是美国微软(Microsoft)公司的一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。Microsoft Visual Studio存在权限提升漏洞,攻击者可利用此漏洞获取SYSTEM权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-11163
4、Adobe Substance 3D Painter缓冲区溢出漏洞(CNVD-2024-11673)
Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter 9.1.1及之前版本存在缓冲区溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码,导致应用程序崩溃。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-11673
5、Microsoft Hyper-V拒绝服务漏洞(CNVD-2024-11161)
Microsoft Hyper-V是美国微软(Microsoft)公司的一个应用程序。一种系统管理程序虚拟化技术,能够实现桌面虚拟化。Microsoft Hyper-V存在拒绝服务漏洞。攻击者可利用该漏洞导致拒绝服务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-11161
二、境内厂商产品漏洞
1、D-Link GO-RT-AC750跨站脚本漏洞
D-Link GO-RT-AC750是中国友讯(D-Link)公司的一款无线双频简易路由器。D-Link GO-RT-AC750存在跨站脚本漏洞,该漏洞源于dlapn.cgi、dldongle.cgi等组件中对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-12209
2、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在信息泄漏漏洞(CNVD-2024-10034)
电子文档安全管理系统是一款可控授权的电子文档安全共享管理系统,采用实时动态加解密保护技术和实时权限回收机制,提供对各类电子文档内容级的安全保护。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在信息泄漏漏洞,攻击者可利用该漏洞获取用户密码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-10034
3、Huawei HarmonyOS和EMUI信息泄露漏洞(CNVD-2024-12232)
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-12232
4、英万齐软件技术(北京)有限公司Ivanti Connect Secure存在命令执行漏洞
Ivanti Connect Secure是一款为远程和移动用户提供了一个无缝的、具有成本效益的SSL VPN解决方案。英万齐软件技术(北京)有限公司Ivanti Connect Secure存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-10044
5、浙江大华技术股份有限公司DSS存在任意文件下载漏洞(CNVD-2024-10023)
浙江大华技术股份有限公司是监控产品供应商和解决方案服务商。浙江大华技术股份有限公司DSS存在任意文件下载漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-10023
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。