(20240311-20240317)

一、境外廠商產(chǎn)品漏洞

1、SAP NetWeaver AS跨站腳本漏洞(CNVD-2024-13534)

SAP NetWeaver AS是德國(guó)思愛(ài)普(SAP)公司的一款SAP網(wǎng)絡(luò)應(yīng)用服務(wù)器。它不僅能提供網(wǎng)絡(luò)服務(wù)，且還是SAP軟件的基本平臺(tái)。SAP NetWeaver AS ABAP存在跨站腳本漏洞，該漏洞源于基于SAP GUI for HTML的應(yīng)用程序未充分編碼用戶控制的輸入，攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13534

2、多款Fortinet產(chǎn)品格式化字符串錯(cuò)誤漏洞

Fortinet FortiOS是一套專(zhuān)用于FortiGate網(wǎng)絡(luò)安全平臺(tái)上的安全操作系統(tǒng)。Fortinet FortiProxy是一種安全的網(wǎng)絡(luò)代理，通過(guò)結(jié)合多種檢測(cè)技術(shù)，如Web過(guò)濾、DNS過(guò)濾、DLP、反病毒、入侵防御和高級(jí)威脅保護(hù)，可以保護(hù)員工免受網(wǎng)絡(luò)攻擊。Fortinet FortiPAM是美國(guó)飛塔(Fortinet)公司的一款權(quán)限訪問(wèn)控制的平臺(tái)。多款Fortinet產(chǎn)品存在格式化字符串錯(cuò)誤漏洞，攻擊者可利用該漏洞通過(guò)特制的請(qǐng)求執(zhí)行任意代碼或命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13010

3、MongoDB Server信任管理問(wèn)題漏洞(CNVD-2024-13539)

MongoDB Server是美國(guó)MongoDB公司的一套開(kāi)源的NoSQL數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)提供面向集合的存儲(chǔ)、動(dòng)態(tài)查詢、數(shù)據(jù)復(fù)制及自動(dòng)故障轉(zhuǎn)移等功能。MongoDB Server存在信任管理問(wèn)題漏洞，該漏洞源于未提供CAFile和clusterCAFile時(shí)，服務(wù)器會(huì)跳過(guò)對(duì)等證書(shū)驗(yàn)證。攻擊者可利用該漏洞導(dǎo)致中間人攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13539

4、Fortinet FortiOS和FortiProxy空指針解引用漏洞

Fortinet FortiOS是美國(guó)飛塔(Fortinet)公司的一套專(zhuān)用于FortiGate網(wǎng)絡(luò)安全平臺(tái)上的安全操作系統(tǒng)。Fortinet FortiProxy是一種安全的網(wǎng)絡(luò)代理，通過(guò)結(jié)合多種檢測(cè)技術(shù)，如Web過(guò)濾、DNS過(guò)濾、DLP、反病毒、入侵防御和高級(jí)威脅保護(hù)，可以保護(hù)員工免受網(wǎng)絡(luò)攻擊。Fortinet FortiOS和FortiProxy存在空指針解引用漏洞，攻擊者可利用該漏洞通過(guò)特制的HTTP請(qǐng)求導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13019

5、Adobe Acrobat Reader輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2024-12461)

Adobe Acrobat Reader是美國(guó)奧多比(Adobe)公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Acrobat Reader存在輸入驗(yàn)證錯(cuò)誤漏洞。攻擊者可利用該漏洞控制受影響的系統(tǒng)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-12461

二、境內(nèi)廠商產(chǎn)品漏洞

1、山東威爾數(shù)據(jù)股份有限公司SCM一卡通平臺(tái)系統(tǒng)存在未授權(quán)訪問(wèn)漏洞

山東威爾數(shù)據(jù)股份有限公司是一家集自主軟件開(kāi)發(fā)、嵌入式開(kāi)發(fā)、硬件開(kāi)發(fā)、生產(chǎn)銷(xiāo)售服務(wù)于一體的全產(chǎn)業(yè)鏈企業(yè)。山東威爾數(shù)據(jù)股份有限公司SCM一卡通平臺(tái)系統(tǒng)存在未授權(quán)訪問(wèn)漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37615

2、TP-LINK AX50跨站腳本漏洞

TP-LINK AX50是中國(guó)普聯(lián)(TP-LINK)公司的一款路由器設(shè)備。TP-LINK AX50 1.0.11 build 2022052版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過(guò)SOAP請(qǐng)求創(chuàng)建端口映射規(guī)則，并在該規(guī)則中存儲(chǔ)惡意JavaScript載荷。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13544

3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在SQL注入漏洞(CNVD-2024-13551)

北京億賽通科技發(fā)展有限責(zé)任公司是一家經(jīng)營(yíng)范圍包括技術(shù)服務(wù)、技術(shù)開(kāi)發(fā)、技術(shù)咨詢、技術(shù)交流、技術(shù)轉(zhuǎn)讓、技術(shù)推廣等的公司。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13551

4、金蝶云星空ERP存在反序列化漏洞

金蝶云星空是一款云端企業(yè)資源管理(ERP)軟件，為企業(yè)提供財(cái)務(wù)管理、供應(yīng)鏈管理以及業(yè)務(wù)流程管理等一體化解決方案。金蝶云星空ERP存在反序列化漏洞，攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-13011

5、XunRuiCMS跨站腳本漏洞(CNVD-2024-12713)

XunRuiCMS(迅睿CMS)是一套開(kāi)源的內(nèi)容管理系統(tǒng)(CMS)。XunRuiCMS v4.6.2及之前版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，遠(yuǎn)程攻擊者可利用該漏洞通過(guò)向發(fā)送特制的惡意請(qǐng)求來(lái)獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-12713

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

原文來(lái)源：CNVD漏洞平臺(tái)