1、SAPNetWeaverAS跨站脚本漏洞(CNVD-2024-13534)
SAPNetWeaverAS是德国思爱普(SAP)公司的一款SAP网络应用服务器。它不仅能提供网络服务,且还是SAP软件的基本平台。SAPNetWeaverASABAP存在跨站脚本漏洞,该漏洞源于基于SAPGUIforHTML的应用程序未充分编码用户控制的输入,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
参考链接:
2、多款Fortinet产品格式化字符串错误漏洞
FortinetFortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。FortinetFortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。FortinetFortiPAM是美国飞塔(Fortinet)公司的一款权限访问控制的平台。多款Fortinet产品存在格式化字符串错误漏洞,攻击者可利用该漏洞通过特制的请求执行任意代码或命令。
3、MongoDBServer信任管理问题漏洞(CNVD-2024-13539)
MongoDBServer是美国MongoDB公司的一套开源的NoSQL数据库。该数据库提供面向集合的存储、动态查询、数据复制及自动故障转移等功能。MongoDBServer存在信任管理问题漏洞,该漏洞源于未提供CAFile和clusterCAFile时,服务器会跳过对等证书验证。攻击者可利用该漏洞导致中间人攻击。
4、FortinetFortiOS和FortiProxy空指针解引用漏洞
FortinetFortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。FortinetFortiProxy是一种安全的网络代理,通过结合多种检测技术,如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护,可以保护员工免受网络攻击。FortinetFortiOS和FortiProxy存在空指针解引用漏洞,攻击者可利用该漏洞通过特制的HTTP请求导致拒绝服务。
5、AdobeAcrobatReader输入验证错误漏洞(CNVD-2024-12461)
AdobeAcrobatReader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。AdobeAcrobatReader存在输入验证错误漏洞。攻击者可利用该漏洞控制受影响的系统。
二、境内厂商产品漏洞
2、TP-LINKAX50跨站脚本漏洞
TP-LINKAX50是中国普联(TP-LINK)公司的一款路由器设备。TP-LINKAX501.0.11build2022052版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过SOAP请求创建端口映射规则,并在该规则中存储恶意JavaScript载荷。
3、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞(CNVD-2024-13551)
北京亿赛通科技发展有限责任公司是一家经营范围包括技术服务、技术开发、技术咨询、技术交流、技术转让、技术推广等的公司。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。
4、金蝶云星空ERP存在反序列化漏洞
金蝶云星空是一款云端企业资源管理(ERP)软件,为企业提供财务管理、供应链管理以及业务流程管理等一体化解决方案。金蝶云星空ERP存在反序列化漏洞,攻击者可利用该漏洞执行任意命令。
5、XunRuiCMS跨站脚本漏洞(CNVD-2024-12713)
XunRuiCMS(迅睿CMS)是一套开源的内容管理系统(CMS)。XunRuiCMSv4.6.2及之前版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,远程攻击者可利用该漏洞通过向发送特制的恶意请求来获取敏感信息。