上周关注度较高的产品安全漏洞(20250113-20250119)
2025-1-20 10:36:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
一、境外厂商产品漏洞

1、IBM Security Directory Integrator操作系统命令注入漏洞

IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。IBM Security Directory Integrator存在操作系统命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00969

2、Rockwell Automation FactoryTalk Transaction Manager拒绝服务漏洞

Rockwell Automation FactoryTalk Transaction Manager是美国罗克韦尔(Rockwell Automation)公司的一个用于保存数据库数据的控制系统。Rockwell Automation FactoryTalk Transaction Manager处理400端口访问存在安全漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可消耗大量cpu和内存资源,造成拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00984

3、IBM Workload Scheduler信息泄露漏洞

IBM Workload Scheduler是美国国际商业机器(IBM)公司的一套企业任务调度软件。该软件能够自动化控制工作负载。IBM Workload Scheduler 9.5、10.1和10.2版本存在信息泄露漏洞,该漏洞源于以纯文本形式存储用户凭证,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00971

4、Adobe Experience Manager跨站脚本漏洞(CNVD-2025-01181)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞在受害者的浏览器会话中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01181

5、Microsoft Windows Remote Desktop Services远程代码执行漏洞

Microsoft Windows Remote Desktop Services是美国微软(Microsoft)公司的一个允许用户远程访问图形桌面和Windows应用程序的功能集合。Microsoft Windows Remote Desktop Services存在远程代码执行漏洞,该漏洞是由远程桌面服务组件中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01184

二、境内厂商产品漏洞

1、浙江大华技术股份有限公司智能物联综合管理平台存在命令执行漏洞

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智能物联综合管理平台存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00420

2、Tenda AC8 sscanf函数缓冲区溢出漏洞

Tenda AC8是中国腾达(Tenda)公司的一款无线路由器。Tenda AC8V4 V16.03.34.06版本存在缓冲区溢出漏洞,该漏洞源于函数sscanf中的参数time未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00982

3、Foxit PDF Editor缓冲区溢出漏洞(CNVD-2025-00958)

‌Foxit PDF Editor是中国福昕(Foxit)公司的一款PDF编辑器。Foxit PDF存在缓冲区溢出漏洞,该漏洞源于在对对象执行操作之前未验证对象是否存在,远程攻击者可以利用该漏洞在受影响的PDF编辑器安装程序上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00958

4、上海鹰谷信息科技有限公司鹰谷_Integle数字化实验室存在信息泄露漏洞

上海鹰谷信息科技有限公司(Integle)成立于2013 年,致力于为企业建立自己的研发数据库。上海鹰谷信息科技有限公司鹰谷_Integle数字化实验室存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00732

5、D-Link DI-8400 tgfile_htm缓冲区溢出漏洞

D-Link DI-8400是中国友讯(D-Link)公司的一款无线路由器。D-Link DI-8400 tgfile_htm存在缓冲区溢出漏洞,远程攻击者可以利用该漏洞提交特殊的请求,可使服务程序崩溃或以应用程序上下文执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00980
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源: https://mp.weixin.qq.com/s?__biz=MzU3ODM2NTg2Mg==&mid=2247495715&idx=2&sn=b9b9d870553d36e181ba7d1702fde7da&chksm=fd74c0eaca0349fcd7eabae533b4d6bf7f8a8cf66309cb1e93c0c20500d376dc0ac4c5436fe6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh