(20241216-20241222)

一、境外廠商產(chǎn)品漏洞

1、Google Chrome安全繞過漏洞（CNVD-2024-48384）

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome存在安全繞過漏洞，攻擊者可利用該漏洞繞過安全限制。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48384

2、Siemens SIMATIC PCS neo緩沖區(qū)溢出漏洞

SIMATIC PCS neo是一款完全基于Web的過程控制系統(tǒng)。Siemens SIMATIC PCS neo存在緩沖區(qū)溢出漏洞，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用漏洞執(zhí)行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48432

3、Adobe Substance 3D Painter緩沖區(qū)溢出漏洞（CNVD-2024-48222）

Adobe Substance 3D Painter是美國奧多比（Adobe）公司的一個3D紋理處理應(yīng)用程序。Adobe Substance 3D Painter 10.1.0版本及之前版本存在安全漏洞，攻擊者可利用該漏洞導(dǎo)致敏感內(nèi)存泄露。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48222

4、Apache Tomcat遠(yuǎn)程代碼執(zhí)行漏洞

Apache Tomcat是美國阿帕奇（Apache）軟件基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page（JSP）的支持。Apache Tomcat中存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是由于web.xml中開啟readonly為false的配置，攻擊者可利用該漏洞以條件競爭進(jìn)行文件上傳導(dǎo)致命令執(zhí)行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48575

5、多款Mozilla產(chǎn)品安全繞過漏洞（CNVD-2024-48561）

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個延長支持版本。Mozilla Thunderbird是電子郵件客戶端軟件，支持IMAP、POP郵件協(xié)議以及HTML郵件格式。多款Mozilla產(chǎn)品存在安全繞過漏洞，該漏洞源于下載.library-ms文件時未顯示可執(zhí)行文件警告。攻擊者可利用該漏洞繞過下載保護(hù)。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48561

二、境內(nèi)廠商產(chǎn)品漏洞

1、中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞

方德桌面操作系統(tǒng)是國產(chǎn)操作系統(tǒng)，適配海光、兆芯、飛騰、龍芯、申威、鯤鵬等國產(chǎn)CPU，支持x86、ARM、MIPS等主流架構(gòu)。中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48032

2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在命令執(zhí)行漏洞

浙江大華股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商，面向全球提供領(lǐng)先的視頻存儲、前端、顯示控制和智能交通等系列化產(chǎn)品，并提供提供熱成像測溫和黑體測溫設(shè)備。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48022

3、用友網(wǎng)絡(luò)科技股份有限公司用友U8Cloud存在SQL注入漏洞（CNVD-2024-47756）

用友U8cloud是用友推出的新一代云ERP，主要聚焦成長型、創(chuàng)新型企業(yè)，提供企業(yè)級云ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司用友U8Cloud存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47756

4、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞

浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47764

5、中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞

方德桌面操作系統(tǒng)是國產(chǎn)操作系統(tǒng)，適配海光、兆芯、飛騰、龍芯、申威、鯤鵬等國產(chǎn)CPU，支持x86、ARM、MIPS等主流架構(gòu)。中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48031

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺