上周关注度较高的产品安全漏洞(20241230-20250105)

上周关注度较高的产品安全漏洞(20241230-20250105)
2025-1-7 07:47:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、境外厂商产品漏洞

1、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2024-49627）

SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面，它允许业务用户轻松管理SAP Commerce Cloud中的任何类型的数据。SAP NetWeaver Enterprise Portal存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627

2、Fortinet FortiOS访问控制错误漏洞（CNVD-2024-49648）

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS存在访问控制错误漏洞，该漏洞源于包含一个会话固定问题。攻击者可利用该漏洞通过网络钓鱼SAML身份验证链接执行未经授权的代码或命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49648

3、Dell OpenManage Server Administrator授权问题漏洞

Dell OpenManage Server Administrator（Dell OMSA）是美国戴尔（Dell）公司的一种软件代理。以两种方式提供全面的一对一系统管理解决方案。Dell OpenManage Server Administrator 11.0.1.0及之前版本存在授权问题漏洞，该漏洞源于包含不正确的权限改造，攻击者可利用该漏洞导致未经授权的权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49621

4、Adobe Substance 3D Painter越界写入漏洞（CNVD-2025-00206）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter存在越界写入漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00206

5、SAP Commerce Backoffice跨站脚本漏洞

SAP Commerce Backoffice是一个用于管理和维护电子商务网站的强大工具，允许管理员和运营团队轻松地管理网站内容和配置。SAP Commerce Backoffice存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49628

二、境内厂商产品漏洞

1、用友网络科技股份有限公司YonBIP存在信息泄露漏洞

YonBIP是用友集团倾力打造的数智化商业创新平台，旨在帮助企业实现数智化转型和商业创新。‌用友网络科技股份有限公司YonBIP存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49050

2、青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞（CNVD-2024-49052）

东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49052

3、武汉达梦数据库股份有限公司达梦新云缓存数据库存在二进制漏洞

‌达梦新云缓存数据库（DMCDM）是一款深度兼容原生Redis协议的Key-Value数据库。武汉达梦数据库股份有限公司达梦新云缓存数据库存在二进制漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49800

4、广东保伦电子股份有限公司itC中心管理服务器存在文件上传漏洞（CNVD-2024-38833）

广东保伦电子股份有限公司是一家集声光电视讯系统整体解决方案产品研发、设计、生产、销售、服务的高新技术企业。广东保伦电子股份有限公司itC中心管理服务器存在文件上传漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-38833

5、TP-LINK Archer C7访问控制错误漏洞

TP-LINK Archer C7是中国普联（TP-LINK）公司的一款无线路由器。TP-LINK Archer C7 v5版本存在访问控制错误漏洞，该漏洞源于组件l_0_0.xml中的错误访问控制，攻击者可利用该漏洞访问敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-49646

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDk0MDgxMw==&mid=2247499585&idx=2&sn=89a27d818040b2144ba2a3da68e1d44a&chksm=973acc23a04d4535dff1ac69822db6f2eda5c7f70aed979b59c7c7025e159dcfd0d060c63714&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh