上周关注度较高的产品安全漏洞(2024031120240317)

1、SAPNetWeaverAS跨站脚本漏洞(CNVD-2024-13534)

SAPNetWeaverAS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。SAPNetWeaverASABAP存在跨站脚本漏洞,该漏洞源于基于SAPGUIforHTML的应用程序未充分编码用户控制的输入,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

2、多款Fortinet产品格式化字符串错误漏洞

FortinetFortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。FortinetFortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。FortinetFortiPAM是美国飞塔(Fortinet)公司的一款权限访问控制的平台。多款Fortinet产品存在格式化字符串错误漏洞,攻击者可利用该漏洞通过特制的请求执行任意代码或命令。

3、MongoDBServer信任管理问题漏洞(CNVD-2024-13539)

MongoDBServer是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。MongoDBServer存在信任管理问题漏洞,该漏洞源于未提供CAFile和clusterCAFile时,服务器会跳过对等证书验证。攻击者可利用该漏洞导致中间人攻击。

4、FortinetFortiOS和FortiProxy空指针解引用漏洞

FortinetFortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。FortinetFortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。FortinetFortiOS和FortiProxy存在空指针解引用漏洞,攻击者可利用该漏洞通过特制的HTTP请求导致拒绝服务。

5、AdobeAcrobatReader输入验证错误漏洞(CNVD-2024-12461)

AdobeAcrobatReader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。AdobeAcrobatReader存在输入验证错误漏洞。攻击者可利用该漏洞控制受影响的系统。

二、境内厂商产品漏洞

2、TP-LINKAX50跨站脚本漏洞

TP-LINKAX50是中国普联(TP-LINK)公司的一款路由器设备。TP-LINKAX501.0.11build2022052版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过SOAP请求创建端口映射规则,并在该规则中存储恶意JavaScript载荷。

3、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-13551)

北京亿赛通科技发展有限责任公司是一家经营范围包括技术服务、技术开发、技术咨询、技术交流、技术转让、技术推广等的公司。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

4、金蝶云星空ERP存在反序列化漏洞

金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云星空ERP存在反序列化漏洞,攻击者可利用该漏洞执行任意命令。

5、XunRuiCMS跨站脚本漏洞(CNVD-2024-12713)

XunRuiCMS(迅睿CMS)是一套开源的内容管理系统(CMS)。XunRuiCMSv4.6.2及之前版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,远程攻击者可利用该漏洞通过向发送特制的恶意请求来获取敏感信息。

THE END
1.cnvd漏洞平台国家信息安全漏洞共享平台关于VMware vCenter Server存在堆溢出漏洞的安全公告2024-10-23 2023年度CNVD平台优秀单位(个人)表彰名单2024-09-09 亿赛通公司发布电子文档安全管理系统产品补丁更新2024-08-09 关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告2024-08-09 关于蓝牙协议存在中间人攻击漏洞的安全公告2023-12-20 https://www.cnvd.org.cn/
2.CNVD漏洞平台CNVD漏洞平台 暂无简介CNCERT:关于VMware vCenter Server存在堆溢出漏洞的安全公告 漏洞 2024-10-24具有网络访问权限的攻击者可利用漏洞远程执行代码,获取服务器控制权限。 CNCERT:关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告 漏洞 2024-08-09 未经身份认证的攻击者可利用漏洞远程执行代码,获取https://www.secrss.com/articles?author=CNVD%E6%BC%8F%E6%B4%9E%E5%B9%B3%E5%8F%B0
3.cnvd漏洞平台腾讯云开发者社区助跑计划之生态伙伴成长营—云上直播 WeCity园区数字化平台产品分享2021-11-10回顾中 云+社区沙龙online第5期[架构演进] 迈向更灵活,贝壳OLAP平台架构演进2020-09-16回顾中 腾讯云数据库TDSQL训练营 【第八期】赤兔运营管理平台2022-03-24回顾中 第135届广交会企业系列专题培训 广交会线上平台服务套餐推介2024-04-01https://cloud.tencent.com/developer/information/cnvd%E6%BC%8F%E6%B4%9E%E5%B9%B3%E5%8F%B0-salon
4.cnvd国家信息安全漏洞共享平台60秒读懂世界本文将详细介绍CNVD国家信息安全漏洞共享平台,探讨其在网络安全领域的重要作用,以及如何为我国网络安全事业贡献力量。 一、CNVD国家信息安全漏洞共享平台简介 国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是由国家计算机网络应急技术处理协调中心(CNCERT/CC)联合国内重要信息系统单位、基础电信运营https://blog.yyzq.team/post/469755.html
5.cnvd漏洞平台腾讯云开发者社区掌握最新的漏洞信息是强有力的防御措施之一,而 CNVD(China National Vulnerability Database,即中国国家信息安全漏洞共享平台)作为中国的重要资源库,为研究人员和网络安全从业者提供了全面的漏洞数据支持本指南将详细解析如何通过自动化脚本方案,稳妥、高效地获取 https://cloud.tencent.com.cn/developer/information/cnvd%E6%BC%8F%E6%B4%9E%E5%B9%B3%E5%8F%B0
6.cnvd漏洞平台漏洞检测平台致远高校一体化协同运营平台解决方案 查看部署指南方案咨询 新客秒杀2核2G 2M L实例 38元/年 普惠上云领千元上云礼券 立即前往 企业专享X实例 4核8G 5M 888元/年 热门域名1元 随心购 1元/年起 cnvd漏洞平台 内容精选换一换 网站安全检测在线_网站安全扫描工具_开源漏洞扫描器 https://www.huaweicloud.com/theme/230182-4-C
7.CNVD漏洞平台的微博发布了头条文章:《2024年CNVD漏洞周报46期》 °2024年CNVD漏洞周报46期 CNVD漏洞平台 2024年CNVD漏洞周报46期 ?收藏 转发 评论 ?赞 c +关注 CNVD漏洞平台 10月28日 17:09 来自微博weibo.com 发布了头条文章:《2024年CNVD漏洞周报43期》 °2024年CNVD漏洞周报43期 ?https://weibo.com/p/1006061506179015/home
8.安全提示CNVD发布上周关注度较高的产品安全漏洞以下文章来源于CNVD漏洞平台 ,作者CNVD CNVD漏洞平台 国家信息安全漏洞共享平台(China National Vulnerability Database)是由国家计算机网络应急技术处理协调中心联合重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。 https://www.thepaper.cn/newsDetail_forward_13782595
9.国家信息安全漏洞共享平台(CNVD)漏洞通报.doc国家信息安全漏洞共享平台(CNVD)漏洞通报 (1)泛微e-office协同管理平台任意文件下载漏洞描述:泛微e-office协同管理平台存在任意文件下载漏洞,该任意文件下载漏洞需要登录oa系统才可以触发,可以配合登录绕过漏洞等进行利用,利用该漏洞可以下载系统中的任意文件,包括数据库文件,配置文件等,危害较大。漏洞分析:存在漏洞的页面https://max.book118.com/html/2017/0430/103386770.shtm
10.奇安信荣获CNVD漏洞信息报送突出贡献单位等四项殊荣近日,国家信息安近日,国家信息安全漏洞共享平台(CNVD)召开2020年工作会议,会议对2020年工作进行总结,并对漏洞信息报送和处置突出贡献单位进行表彰。 凭借强大的漏洞挖掘和响应处置能力,奇安信集团旗下网神信息技术(北京)股份有限公司(以下简称奇安信网神)运营的补天平台,获得“2020年度漏洞信息报送突出贡献单位”和“CNVD协作特别贡献单位”https://xueqiu.com/S/SH688561/167271218
11.国家信息安全漏洞共享平台(CNVD)信息化办公室 国家信息安全漏洞共享平台(CNVD) 发布人: 信息化办公室 发布时间: 2016-11-16 浏览次数: 3391 http://www.cert.org.cn/publish/main/upload/File/2016CNVD45.pdf您的网站名称 未经许可 严禁复制 建议使用1024X768分辨率浏览本站https://www.sppc.edu.cn/xxb/_t50/2016/1116/c2069a9546/page.htm
12.20余家企业共建国家信息安全漏洞共享平台10月22日消息,国家计算机网络应急技术处理协调中心(以下简称“国家互联网应急中心”)、国家信息技术安全研究中心与神州绿盟、启明星辰、腾讯等国内近二十家安全公司、软件厂商、互联网企业就共同建设国家信息安全漏洞共享平台的合作事宜在湖南长沙举行了签约仪式。 https://www.51cto.com/article/160286.html
13.浅谈漏洞来源(CVE,NVD,CNVD,CNNVD)cve漏洞库CNVD: 国家信息安全漏洞共享平台(China National Vulnerability Database)https://www.cnvd.org.cn/ 由国家计算机网络应急技术处理协调中心(中文简称国家互联应急中心,英文简称CNCERT)联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。 https://blog.csdn.net/weixin_41686586/article/details/113996298
14.如何轻松挖掘一个通用漏洞并拿下CNVD证书很久时间没在脉搏写文章了,最近看了看年前提交CNVD的通用漏洞已经审核通过并修复了,加上平时在家也挺闲的,所以就打算写一篇文章来陶冶情操,打发下时间。先上一张CNVD的通用证书(大佬师傅们请绕道), 然后进入正题,漏洞是如何挖掘的。 1、这个漏洞是在我挖EDU-SRC的时候偶然碰到的,很多个大学使用这个系统去管理学生https://www.secpulse.com/archives/125008.html
15.记一次某通用工控设备管理平台SQL注入漏洞挖掘(CNVD2023记录一次本人CNVD漏洞挖掘的过程,此漏洞已被分配编号:CNVD-2023-59080 引言 本文记录了一次对某通用工控设备管理平台基于布尔盲注的SQL注入漏洞的挖掘,存在漏洞的接口是日志查询功能,其中的 keyword 参数存在SQL注入。 漏洞挖掘 管理平台需要用户名密码授权,且需要验证https://www.cnblogs.com/tdragon6/p/17749931.html