(20241230-20250105)

一、境外廠商產(chǎn)品漏洞

1、SAP NetWeaver Enterprise Portal跨站腳本漏洞(CNVD-2024-49627)

SAP Commerce Cloud的Backoffice是一個(gè)用戶中心的、可擴(kuò)展的后端界面，它允許業(yè)務(wù)用戶輕松管理SAP Commerce Cloud中的任何類型的數(shù)據(jù)。SAP NetWeaver Enterprise Portal存在跨站腳本漏洞，遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當(dāng)惡意數(shù)據(jù)被查看時(shí)，可獲取敏感信息或劫持用戶會(huì)話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627

2、Fortinet FortiOS訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2024-49648)

Fortinet FortiOS是美國(guó)飛塔(Fortinet)公司的一套專用于FortiGate網(wǎng)絡(luò)安全平臺(tái)上的安全操作系統(tǒng)。該系統(tǒng)為用戶提供防火墻、防病毒、IPSec/SSLVPN、Web內(nèi)容過(guò)濾和反垃圾郵件等多種安全功能。Fortinet FortiOS存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于包含一個(gè)會(huì)話固定問(wèn)題。攻擊者可利用該漏洞通過(guò)網(wǎng)絡(luò)釣魚(yú)SAML身份驗(yàn)證鏈接執(zhí)行未經(jīng)授權(quán)的代碼或命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49648

3、Dell OpenManage Server Administrator授權(quán)問(wèn)題漏洞

Dell OpenManage Server Administrator(Dell OMSA)是美國(guó)戴爾(Dell)公司的一種軟件代理。以兩種方式提供全面的一對(duì)一系統(tǒng)管理解決方案。Dell OpenManage Server Administrator 11.0.1.0及之前版本存在授權(quán)問(wèn)題漏洞，該漏洞源于包含不正確的權(quán)限改造，攻擊者可利用該漏洞導(dǎo)致未經(jīng)授權(quán)的權(quán)限提升。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49621

4、Adobe Substance 3D Painter越界寫(xiě)入漏洞(CNVD-2025-00206)

Adobe Substance 3D Painter是美國(guó)奧多比(Adobe)公司的一個(gè)3D紋理處理應(yīng)用程序。Adobe Substance 3D Painter存在越界寫(xiě)入漏洞，攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2025-00206

5、SAP Commerce Backoffice跨站腳本漏洞

SAP Commerce Backoffice是一個(gè)用于管理和維護(hù)電子商務(wù)網(wǎng)站的強(qiáng)大工具，允許管理員和運(yùn)營(yíng)團(tuán)隊(duì)輕松地管理網(wǎng)站內(nèi)容和配置。SAP Commerce Backoffice存在跨站腳本漏洞，遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當(dāng)惡意數(shù)據(jù)被查看時(shí)，可獲取敏感信息或劫持用戶會(huì)話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49628

二、境內(nèi)廠商產(chǎn)品漏洞

1、用友網(wǎng)絡(luò)科技股份有限公司YonBIP存在信息泄露漏洞

YonBIP是用友集團(tuán)傾力打造的數(shù)智化商業(yè)創(chuàng)新平臺(tái)，旨在幫助企業(yè)實(shí)現(xiàn)數(shù)智化轉(zhuǎn)型和商業(yè)創(chuàng)新。?用友網(wǎng)絡(luò)科技股份有限公司YonBIP存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49050

2、青島東勝偉業(yè)軟件有限公司東勝物流軟件存在信息泄露漏洞(CNVD-2024-49052)

東勝物流軟件是青島東勝偉業(yè)軟件有限公司一款集訂單管理、倉(cāng)庫(kù)管理、運(yùn)輸管理等多種功能于一體的物流管理軟件。青島東勝偉業(yè)軟件有限公司東勝物流軟件存在信息泄露漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49052

3、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)新云緩存數(shù)據(jù)庫(kù)存在二進(jìn)制漏洞

?達(dá)夢(mèng)新云緩存數(shù)據(jù)庫(kù)(DMCDM)是一款深度兼容原生Redis協(xié)議的Key-Value數(shù)據(jù)庫(kù)。武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)新云緩存數(shù)據(jù)庫(kù)存在二進(jìn)制漏洞，攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49800

4、廣東保倫電子股份有限公司itC中心管理服務(wù)器存在文件上傳漏洞(CNVD-2024-38833)

廣東保倫電子股份有限公司是一家集聲光電視訊系統(tǒng)整體解決方案產(chǎn)品研發(fā)、設(shè)計(jì)、生產(chǎn)、銷售、服務(wù)的高新技術(shù)企業(yè)。廣東保倫電子股份有限公司itC中心管理服務(wù)器存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-38833

5、TP-LINK Archer C7訪問(wèn)控制錯(cuò)誤漏洞

TP-LINK Archer C7是中國(guó)普聯(lián)(TP-LINK)公司的一款無(wú)線路由器。TP-LINK Archer C7 v5版本存在訪問(wèn)控制錯(cuò)誤漏洞，該漏洞源于組件l_0_0.xml中的錯(cuò)誤訪問(wèn)控制，攻擊者可利用該漏洞訪問(wèn)敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-49646

說(shuō)明：關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CDVD漏洞平臺(tái)