当前位置: 首页 > 网络安全 > 正文
关注度较高的产品安全漏洞(20240819-20240825)

来源/编辑: 信息中心审稿人2 发布日期:2024年09月27日 10:58 浏览次数:[]

一、境外厂商产品漏洞

1Google Android权限提升漏洞(CNVD-2024-36096)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞提升权限。


2Adobe Illustrator不当输入验证漏洞

Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在安全漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。


3Adobe Illustrator越界写入漏洞(CNVD-2024-36029)

Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在越界写入漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。


4Linksys E1500命令注入漏洞

Linksys E1500是美国Linksys公司的一款无线路由器。Linksys E1500 v1.0.06.001版本存在命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。经过身份验证的攻击者可利用该漏洞可以以root权限执行操作系统命令。


5Google Chrome代码执行漏洞(CNVD-2024-36093)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。


二、境内厂商产品漏洞

1青岛和正信息技术有限公司金斗云HKMP存在SQL注入漏洞

青岛和正信息技术有限公司是一家以从事软件和信息技术服务业为主的企业。青岛和正信息技术有限公司金斗云HKMP存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。


2北京网御星云信息技术有限公司网御VPN安全网关存在任意文件下载漏洞

北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售。北京网御星云信息技术有限公司网御VPN安全网关存在任意文件下载漏洞,攻击者可利用该漏洞在未经身份验证的情况下下载passwd等敏感文件。


3D-Link DI-8100命令注入漏洞

D-Link DI-8100是中国友讯(D-Link)公司的一款专为中小型网络环境设计的无线宽带路由器。D-Link DI-8100 16.07版本存在命令注入漏洞,该漏洞源于文件upgrade_filter. asp的upgrade_filter_asp对参数路径的操纵会导致命令注入,从而可以远程发起攻击。目前没有详细的漏洞细节提供。


4、北京海量数据技术股份有限公司Vastbase G100数据库存在拒绝服务漏洞(CNVD-2024-35508)

北京海量数据技术股份有限公司成立于2007年,是中国数据技术领航企业。专注于数据库产品研发、销售和服务,经过多年自主研发,先后发布了Vastbase E100数据库和Vastbase G100数据库。北京海量数据技术股份有限公司Vastbase G100数据库存在拒绝服务漏洞,攻击者可利用该漏洞导致数据库宕机。


5TOTOLINK X5000R setLedCfg函数操作系统命令注入漏洞

TOTOLINK X5000R是中国吉翁电子(TOTOLINK)公司的一个路由器。TOTOLINK X5000R v9.1.0cu.2350_b20230313版本存在操作系统命令注入漏洞。该漏洞源于文件/cgi-bin/cstecgi.cgi的setLedCfg函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞发送恶意数据包来执行任意命令。