一、境外厂商产品漏洞
1、Sonatype Nexus Repository存在路径遍历漏洞
Nexus Repository Manager是一个仓库管理系统。Sonatype Nexus Repository Manager存在路径遍历漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-28353
2、西门子(中国)有限公司多款产品存在拒绝服务漏洞(CNVD-2024-25231)
西门子(中国)有限公司是一家专注于电气化、自动化和数字化领域的企业。西门子(中国)有限公司多款产品存在拒绝服务漏洞,攻击者可利用漏洞导致设备处理异常而死机,手动重启PLC才能恢复。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25231
3、Mattermost信息泄露漏洞(CNVD-2024-30628)
Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在信息泄露漏洞。攻击者可以利用该漏洞导致读取消息内容。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-30628
4、IBM Db2用户枚举漏洞
IBM Db2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM Db2 for i 7.2、7.3、7.4和7.5版本存在用户枚举漏洞,该漏洞源于user defined table函数对于有效用户和无效用户存在不同响应,攻击者可利用该漏洞收集有关用户的信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-29665
5、Cybozu Garoon安全绕过漏洞(CNVD-2024-29666)
Cybozu Garoon是日本才望子(Cybozu)公司的一套门户型OA办公系统。该系统提供门户、E-mail、书签、日程安排、公告栏、文件管理等功能。Cybozu Garoon存在安全绕过漏洞,该漏洞源于对共享待办事项中的某些操作限制不当。攻击者可利用该漏洞删除Shared to Dos的数据。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-29666
二、境内厂商产品漏洞
1、深圳学海云帆科技有限公司Readpaper存在XSS漏洞
ReadPaper是一个集翻译、阅读、搜索、管理等于一体的AI科研神器,支持多端同步,覆盖全学科的学术词汇和图谱,提供专业的AI润色和学术社区功能。深圳学海云帆科技有限公司Readpaper存在XSS漏洞,攻击者可利用漏洞获取用户cookie等敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25226
2、用友网络科技股份有限公司NC Cloud存在SQL注入漏洞
NC Cloud是一款大型企业数字化平台,支持公有云、混合云、专属云的灵活部署模式。用友网络科技股份有限公司NC Cloud存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25234
3、TP-LINK ER7206命令执行漏洞
TP-LINK ER7206是中国普联(TP-LINK)公司的一款多功能千兆路由器。TP-Link ER7206 Omada Gigabit VPN Router 1.4.1 Build 20240117版本存在命令执行漏洞,该漏洞源于存在残留调试代码,攻击者可利用该漏洞通过特制的网络请求可导致任意命令执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-30632
4、北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞(CNVD-2024-25582)
数据泄露防护(DLP)系统是一款融合机器学习、大数据分析、文档加密、访问控制、关联分析、数据标识等技术的综合性数据安全产品。北京亿赛通科技发展有限责任公司数据泄露防护(DLP)系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-25582
5、TP-LINK AX1500操作系统命令注入漏洞
TP-LINK AX1500是中国普联(TP-LINK)公司的一个调制解调器。TP-LINK AX1500存在操作系统命令注入漏洞,该漏洞源于操作系统命令中使用的特殊元素的不当中和,攻击者可利用该漏洞导致任意命令执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-30638
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。