您所在的位置:首页 > 预警信息
上周关注度较高的产品安全漏洞(20240129-20240204)
2024-02-05 16:00:00    来源:CNVD

一、境外厂商产品漏洞

1、Google Chrome数字错误漏洞(CNVD-2024-06231)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 120.0.6099.216之前版本存在数字错误漏洞,该漏洞源于数据验证不足。攻击者可利用该漏洞通过特制的HTML页面安装恶意扩展程序。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06231

2、Glibc存在堆溢出漏洞

glibc是GNU发布的libc库,即c运行库。Glibc存在堆溢出漏洞,拥有低权限的本地攻击者可以利用该漏洞提升至root权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06857

3、Google Android权限提升漏洞(CNVD-2024-07115)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用此漏洞在系统上获取提升的特权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-07115

4、Apache Superset跨站脚本漏洞(CNVD-2024-06442)

Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset 3.0.3之前版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,经过身份验证的攻击者可利用该漏洞将恶意脚本注入Web页面。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06442

5、WebCalendar跨站脚本漏洞

WebCalendar是一个PHP应用程序,用于为单个用户或Intranet用户组维护日历。它还可以配置为事件日历。WebCalendar v1.3.0版本存在跨站脚本漏洞,该漏洞源于/WebCalendarvqsmnseug2/edit_entry.php组件对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06441

二、境内厂商产品漏洞

1、ZZCMS文件上传漏洞(CNVD-2024-06241)

ZZCMS是中国ZZCMS团队的一套内容管理系统(CMS)。ZZCMS 2023版本存在文件上传漏洞,该漏洞源于/E_bak5.1/upload/index.php对上传的文件缺少有效的验证。攻击者可利用该漏洞获取服务器权限并执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06241

2、TOTOLINK A3300R setDdnsCfg方法命令注入漏洞

TOTOLINK A3300R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK A3300R V17.0.0cu.557_B20221024版本存在命令注入漏洞,该漏洞源于setDdnsCfg方法的username参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06218

3、武汉达梦数据库股份有限公司达梦启智⼤数据可视化系统(DMQZDV体验版)存在任意文件读取漏洞

达梦启智大数据可视化系统是面向大数据展示的一站式工具平台。武汉达梦数据库股份有限公司达梦启智⼤数据可视化系统(DMQZDV体验版)存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-03150

4、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞(CNVD-2024-06018)

北京亿赛通科技发展有限责任公司是一家经营范围包括一般项目:技术服务、技术开发、技术咨询、技术交流、技术转让等的公司。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06018

5、Tenda AX1803 getIptvInfo方法的adv.iptv.stbpvid参数缓冲区溢出漏洞

Tenda AX1803是中国腾达(Tenda)公司的一款双频千兆WIFI6路由器。Tenda AX1803 v1.0.0.1版本存在缓冲区溢出漏洞,该漏洞源于getIptvInfo方法的adv.iptv.stbpvid参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2024-06234

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。