(20240610-20240616)

一、境外廠商產(chǎn)品漏洞

1、Siemens TIM 1531 IRC無限循環(huán)漏洞

TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在無限循環(huán)漏洞，經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞通過導(dǎo)入特制的PKCS12容器來創(chuàng)建拒絕服務(wù)條件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-26693

2、Apache Airflow信息泄露漏洞(CNVD-2024-26530)

Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴(kuò)展和動態(tài)監(jiān)控等特點(diǎn)。Apache Airflow 2.8.2之前版本存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-26530

3、Siemens S7-200 SMART series使用不安全的隨機(jī)值漏洞

S7-200 SMART series是一系列微型可編程邏輯控制器，可以控制各種小型自動化應(yīng)用。Siemens S7-200 SMART series存在使用不安全的隨機(jī)值漏洞，攻擊者可利用該漏洞創(chuàng)建拒絕服務(wù)條件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-26691

4、WordPress Discussion Board plugin跨站腳本漏洞

WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。WordPress plugin Discussion Board 2.4.8版本及之前版本存在跨站腳本漏洞，該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-26513

5、Siemens TIM 1531 IRC數(shù)字類型錯誤轉(zhuǎn)換漏洞

TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模塊。Siemens TIM 1531 IRC存在數(shù)字類型錯誤轉(zhuǎn)換漏洞，攻擊者可利用該漏洞在受影響的設(shè)備上造成拒絕服務(wù)條件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-26692

二、境內(nèi)廠商產(chǎn)品漏洞

1、小米科技有限責(zé)任公司小米路由器AX9000存在二進(jìn)制漏洞

小米路由器AX9000是小米公司于2021年3月29日發(fā)布的第三代Wi-Fi6旗艦產(chǎn)品—，支持WiFi6增強(qiáng)版，最大理論速率可達(dá)3.5Gbps。小米科技有限責(zé)任公司小米路由器AX9000存在二進(jìn)制漏洞，攻擊者可利用漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23093

2、廈門快普信息技術(shù)有限公司快普M6整合管理平臺系統(tǒng)存在SQL注入漏洞(CNVD-2024-27112)

廈門快普信息技術(shù)有限公司是一家致力于信息化整合管理系統(tǒng)研發(fā)的創(chuàng)新型高科技企業(yè)。廈門快普信息技術(shù)有限公司快普M6整合管理平臺系統(tǒng)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息，執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-27112

3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞(CNVD-C-2024-271249)

億賽通文檔安全管理系統(tǒng)是國內(nèi)最早基于文件過濾驅(qū)動技術(shù)的文檔加解密產(chǎn)品，保護(hù)范圍涵蓋終端電腦(Windows、Mac、Linux系統(tǒng)平臺)、智能終端(Android、IOS)及各類應(yīng)用系統(tǒng)(OA、知識管理、文檔管理、項(xiàng)目管理、PDM等)。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)(CDG)存在SQL注入漏洞，攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23002

4、用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞

用友NC是一款大型erp企業(yè)管理系統(tǒng)與電子商務(wù)平臺。用友網(wǎng)絡(luò)科技股份有限公司用友NC存在命令執(zhí)行漏洞，攻擊者可利用漏洞執(zhí)行命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-23099

5、廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞(CNVD-2024-25622)

廈門天銳科技股份有限公司是數(shù)據(jù)安全產(chǎn)品與服務(wù)提供商。廈門天銳科技股份有限公司天銳綠盾審批系統(tǒng)存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-25622

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺