一、境外廠商產(chǎn)品漏洞

1、IBM Cognos Controller信息泄露漏洞（CNVD-2024-23286）

IBM Cognos Controller是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一套商業(yè)智能與計(jì)劃解決方案。該產(chǎn)品具有流程自動(dòng)化、財(cái)務(wù)審計(jì)控制、創(chuàng)建和管理財(cái)務(wù)報(bào)告等功能。IBM Cognos Controller存在信息泄露漏洞，該漏洞源于不會(huì)在授權(quán)令牌或會(huì)話cookie上設(shè)置安全屬性。攻擊者可利用該漏洞通過向用戶發(fā)送http:// 鏈接或?qū)⒋随溄又踩胗脩粼L問的網(wǎng)站來獲取cookie值。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23286

2、SAP macOS-enterprise-privileges緩沖區(qū)溢出漏洞

SAP macOS-enterprise-privileges是德國(guó)思愛普（SAP）公司的一款應(yīng)用軟件，可以提供一種快速、簡(jiǎn)單的方法在需要時(shí)獲取管理員權(quán)限。SAP macOS-enterprise-privileges 1.5.4之前版本存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞導(dǎo)致系統(tǒng)崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23327

3、Siemens RUGGEDCOM CROSSBOW SQL注入漏洞

Siemens RUGGEDCOM CROSSBOW是德國(guó)西門子（Siemens）公司的一個(gè)經(jīng)過驗(yàn)證的安全訪問管理解決方案。Siemens RUGGEDCOM CROSSBOW存在SQL注入漏洞，該漏洞是由于受影響的客戶端系統(tǒng)在將輸入數(shù)據(jù)發(fā)送到SQL服務(wù)器之前未能正確地對(duì)其進(jìn)行過濾。攻擊者可利用此漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23527

4、IBM AIX權(quán)限提升漏洞（CNVD-2024-23284）

IBM AIX是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一款為IBM Power體系架構(gòu)開發(fā)的一種基于開放標(biāo)準(zhǔn)的UNIX操作系統(tǒng)。IBM AIX存在安全漏洞。攻擊者可利用該漏洞提升權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23284

5、Mozilla Firefox安全繞過漏洞（CNVD-2024-23344）

Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個(gè)延長(zhǎng)支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來的電子郵件客戶端軟件。Mozilla Firefox存在安全繞過漏洞，攻擊者可利用該漏洞繞過安全限制。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23344

二、境內(nèi)廠商產(chǎn)品漏洞

1、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EG2000CE存在命令執(zhí)行漏洞（CNVD-2024-22811）

EG2000CE是一款智能路由器。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EG2000CE存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-22811

2、H3C ER5100G2系統(tǒng)管理存在命令執(zhí)行漏洞

ER5100G2是新一代企業(yè)級(jí)千兆有線路由器。H3C ER5100G2系統(tǒng)管理存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-22766

3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞（CNVD-2024-23166）

北京億賽通科技發(fā)展有限責(zé)任公司是國(guó)內(nèi)數(shù)據(jù)安全、網(wǎng)絡(luò)安全及安全服務(wù)三大業(yè)務(wù)提供商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23166

4、統(tǒng)信軟件技術(shù)有限公司統(tǒng)信桌面操作系統(tǒng)存在任意文件寫入漏洞

統(tǒng)信桌面操作系統(tǒng)是一款國(guó)產(chǎn)桌面操作系統(tǒng)。統(tǒng)信軟件技術(shù)有限公司統(tǒng)信桌面操作系統(tǒng)存在任意文件寫入漏洞，攻擊者可利用漏洞修改任意文件，從而進(jìn)行本地提權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23842

5、Tenda AC8 formSetRebootTimer函數(shù)存在棧緩沖區(qū)溢出漏洞

Tenda AC8是一款路由器產(chǎn)品，主要用于家庭和小型辦公室的網(wǎng)絡(luò)連接。Tenda AC8在16.03.34.09版本中的/goform/SetRebootTimer文件的formSetRebootTimer函數(shù)存在棧緩沖區(qū)溢出漏洞。攻擊者可以利用該漏洞遠(yuǎn)程操縱rebootTime參數(shù)，執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23310

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。