一、境外廠商產(chǎn)品漏洞

1、Apache Fineract SQL注入漏洞（CNVD-2024-16106）

Apache Fineract是美國阿帕奇（Apache）基金會的一套開源數(shù)字金融服務(wù)平臺。該平臺能夠為用戶提供數(shù)據(jù)管理、貸款和儲蓄投資組合管理以及實時財務(wù)數(shù)據(jù)等功能。Apache Fineract 1.8.5之前版本存在SQL注入漏洞，攻擊者可利用該漏洞使用sqlSearch參數(shù)發(fā)送特制的SQL語句，查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-16106

2、Dell PowerScale OneFS信息泄露漏洞（CNVD-2024-16220）

Dell PowerScale OneFS是美國戴爾（Dell）公司的一個操作系統(tǒng)。提供橫向擴展NAS的PowerScale OneFS操作系統(tǒng)。Dell PowerScale OneFS存在信息泄露漏洞，該漏洞源于包含使用損壞或有風(fēng)險的加密算法。攻擊者可利用該漏洞危及敏感信息的機密性和完整性。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-16220

3、Apache InLong代碼問題漏洞（CNVD-2024-16113）

Apache InLong是美國阿帕奇（Apache）基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.8.0版本到1.10.0版本存在代碼問題漏洞，攻擊者可利用該漏洞通過發(fā)送特制的有效負載，讀取系統(tǒng)上的任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-16113

4、IBM Cognos Analytics表單跨站請求偽造漏洞

IBM Cognos Analytics是美國國際商業(yè)機器（IBM）公司的一套商業(yè)智能軟件。IBM Cognos Analytics表單處理存在跨站請求偽造漏洞，遠程攻擊者可以利用該漏洞構(gòu)建惡意URI，誘使請求，可以目標用戶上下文執(zhí)行惡意操作。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-15733

5、Apache Fineract權(quán)限提升漏洞

Apache Fineract是美國阿帕奇（Apache）基金會的一套開源數(shù)字金融服務(wù)平臺。該平臺能夠為用戶提供數(shù)據(jù)管理、貸款和儲蓄投資組合管理以及實時財務(wù)數(shù)據(jù)等功能。Apache Fineract存在權(quán)限提升漏洞，攻擊者可利用該漏洞獲取任何角色的提升權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-16108

二、境內(nèi)廠商產(chǎn)品漏洞

1、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞（CNVD-2024-14992）

北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-14992

2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在未授權(quán)訪問漏洞（CNVD-2024-14380）

浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在未授權(quán)訪問漏洞，攻擊者可利用該漏洞未授權(quán)添加用戶。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-14380

3、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在信息泄露漏洞（CNVD-2024-14798）

浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-14798

4、北京亞控科技發(fā)展有限公司組態(tài)王（KingView）存在拒絕服務(wù)漏洞

組態(tài)王（KingView）是北京亞控科技發(fā)展有限公司生產(chǎn)的一款工業(yè)自動化組態(tài)軟件。北京亞控科技發(fā)展有限公司組態(tài)王（KingView）存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞導(dǎo)致軟件崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-14200

5、Tenda AC10操作系統(tǒng)命令注入漏洞（CNVD-2024-15743）

Tenda AC10是中國騰達（Tenda）公司的一款無線路由器。Tenda AC10U 15.03.06.49版本存在操作系統(tǒng)命令注入漏洞，該漏洞源于/goform/WriteFacMac文件的formWriteFacMac函數(shù)的mac參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-15743

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。