(20241111-20241117)

一、境外廠商產(chǎn)品漏洞

1、Google Pixel越界讀取漏洞

Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Pixel存在越界讀取漏洞，該漏洞源于缺少邊界檢查，攻擊者可利用該漏洞越界讀取本地信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44476

2、Google Chrome釋放后重用漏洞（CNVD-2024-44478）

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome 130.0.6723.92之前版本存在釋放后重用漏洞，攻擊者可利用該漏洞通過精心制作的HTML頁面潛在地利用堆損壞。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44478

3、Google Chrome越界寫入漏洞（CNVD-2024-44477）

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome 130.0.6723.92之前版本存在越界寫入漏洞，攻擊者可利用該漏洞通過精心制作的HTML頁面執(zhí)行越界內(nèi)存訪問。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44477

4、Microsoft DeepSpeed遠程代碼執(zhí)行漏洞

Microsoft DeepSpeed是美國微軟（Microsoft）公司的一款易于使用的深度學(xué)習(xí)優(yōu)化軟件套件，可為DL訓(xùn)練和推理提供前所未有的規(guī)模和速度。Microsoft DeepSpeed存在遠程代碼執(zhí)行漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44524

5、Mozilla Firefox資源關(guān)閉或釋放不當漏洞

Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個延長支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。Mozilla Firefox存在資源關(guān)閉或釋放不當漏洞，攻擊者可利用該漏洞在配置為啟動特制的WebTransport會話的網(wǎng)站導(dǎo)致Firefox進程崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44472

二、境內(nèi)廠商產(chǎn)品漏洞

1、Tenda i22代碼問題漏洞

Tenda i22是中國騰達（Tenda）公司的一款無線接入點。Tenda i22存在代碼問題漏洞，該漏洞源于對參數(shù)Content-Length的處理不當，導(dǎo)致空指針取消引用。攻擊者可以利用該漏洞上傳任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44859

2、TOTOLINK X18命令注入漏洞

TOTOLINK X18是中國吉翁電子（TOTOLINK）公司的一個網(wǎng)狀路由器系統(tǒng)。TOTOLINK X18 9.1.0cu.2024_B20220329版本存在命令注入漏洞，該漏洞源于/cgi-bin/cstecgi.cgi頁面中的enable參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44851

3、D-Link DI-8003命令注入漏洞

D-Link DI-8003是中國友訊（D-Link）公司的一款無線路由器。D-Link DI-8003 16.07.16A1版本存在命令注入漏洞，該漏洞源于文件/upgrade_filter.asp的參數(shù)path未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44852

4、D-Link DI-8003 dbsrv.asp文件緩沖區(qū)溢出漏洞

D-Link DI-8003是中國友訊（D-Link）公司的一款無線路由器。D-Link DI-8003 16.07.16A1版本存在緩沖區(qū)溢出漏洞，該漏洞源于文件/dbsrv.asp的參數(shù)str未能正確驗證輸入數(shù)據(jù)的長度大小，遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44818

5、Tenda AC6命令注入漏洞（CNVD-2024-44861）

Tenda AC6是中國騰達（Tenda）公司的一款無線路由器。Tenda AC6 15.03.05.19版本存在命令注入漏洞，該漏洞源于參數(shù)The未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44861

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

文章來源：CNVD漏洞平臺