第四师可克达拉市网络与信息安全信息通报中心2024年1月31日
一、境外厂商产品漏洞
1、TrendMicroApexCentral跨站脚本漏洞(CNVD-2024-04936)
TrendMicroApexCentral是美国趋势科技(TrendMicro)公司的一个基于Web的产品控制台。TrendMicroApexCentral存在跨站脚本漏洞,攻击者可利用该漏洞注入恶意脚本或HTML代码。
2、AppleWebKit代码执行漏洞
AppleWebKit是由苹果公司开发的一款开源浏览器引擎。AppleWebKit代码执行漏洞,攻击者可利用该漏洞构造恶意页面诱使受害者访问,成功利用将在目标系统上执行代码。
3、AdobeExperienceManager跨站脚本漏洞(CNVD-2024-04931)
AdobeExperienceManager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。AdobeExperienceManager存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。
4、GoogleAndroid信息泄露漏洞(CNVD-2024-05383)
GoogleAndroid是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。GoogleAndroid存在信息泄露漏洞,攻击者可利用此漏洞获取敏感信息。
5、AdobeExperienceManager跨站脚本漏洞(CNVD-2024-04935)
二、境内厂商产品漏洞
2、亿赛通电子文档安全管理系统存在命令执行漏洞(CNVD-2024-03256)
北京亿赛通科技发展有限责任公司是一家以从事科技推广和应用服务业为主的企业。亿赛通电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
4、北京世纪超星信息技术发展有限责任公司智能客服小智存在XSS漏洞
北京世纪超星信息技术发展有限责任公司是一家以技术、产品与服务创新为驱动力的教育信息化企业。北京世纪超星信息技术发展有限责任公司智能客服小智存在XSS漏洞,攻击者可利用该漏洞获取用户cookie等敏感信息。
5、TendaA15deviceList参数缓冲区溢出漏洞
TendaA15是中国腾达(Tenda)公司的一款WiFi扩展器。TendaA1515.13.07.13版本存在缓冲区溢出漏洞,该漏洞源于/goform/setBlackRule文件的deviceList参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。