上周关注度较高的产品安全漏洞(20241111-20241117)

上周关注度较高的产品安全漏洞(20241111-20241117)
2024-11-19 16:57:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、境外厂商产品漏洞

1、Google Pixel越界读取漏洞

Google Pixel是美国谷歌（Google）公司的一款智能手机。Google Pixel存在越界读取漏洞，该漏洞源于缺少边界检查，攻击者可利用该漏洞越界读取本地信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44476

2、Google Chrome释放后重用漏洞（CNVD-2024-44478）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 130.0.6723.92之前版本存在释放后重用漏洞，攻击者可利用该漏洞通过精心制作的HTML页面潜在地利用堆损坏。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44478

3、Google Chrome越界写入漏洞（CNVD-2024-44477）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 130.0.6723.92之前版本存在越界写入漏洞，攻击者可利用该漏洞通过精心制作的HTML页面执行越界内存访问。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44477

4、Microsoft DeepSpeed远程代码执行漏洞

Microsoft DeepSpeed是美国微软（Microsoft）公司的一款易于使用的深度学习优化软件套件，可为DL训练和推理提供前所未有的规模和速度。Microsoft DeepSpeed存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44524

5、Mozilla Firefox资源关闭或释放不当漏洞

Mozilla Firefox是一款开源Web浏览器。Mozilla Firefox ESR是Firefox（Web浏览器）的一个延长支持版本。Mozilla Thunderbird是一套从Mozilla Application Suite独立出来的电子邮件客户端软件。Mozilla Firefox存在资源关闭或释放不当漏洞，攻击者可利用该漏洞在配置为启动特制的WebTransport会话的网站导致Firefox进程崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44472

二、境内厂商产品漏洞

1、Tenda i22代码问题漏洞

Tenda i22是中国腾达（Tenda）公司的一款无线接入点。Tenda i22存在代码问题漏洞，该漏洞源于对参数Content-Length的处理不当，导致空指针取消引用。攻击者可以利用该漏洞上传任意文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44859

2、TOTOLINK X18命令注入漏洞

TOTOLINK X18是中国吉翁电子（TOTOLINK）公司的一个网状路由器系统。TOTOLINK X18 9.1.0cu.2024_B20220329版本存在命令注入漏洞，该漏洞源于/cgi-bin/cstecgi.cgi页面中的enable参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44851

3、D-Link DI-8003命令注入漏洞

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。D-Link DI-8003 16.07.16A1版本存在命令注入漏洞，该漏洞源于文件/upgrade_filter.asp的参数path未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44852

4、D-Link DI-8003 dbsrv.asp文件缓冲区溢出漏洞

D-Link DI-8003是中国友讯（D-Link）公司的一款无线路由器。D-Link DI-8003 16.07.16A1版本存在缓冲区溢出漏洞，该漏洞源于文件/dbsrv.asp的参数str未能正确验证输入数据的长度大小，远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44818

5、Tenda AC6命令注入漏洞（CNVD-2024-44861）

Tenda AC6是中国腾达（Tenda）公司的一款无线路由器。Tenda AC6 15.03.05.19版本存在命令注入漏洞，该漏洞源于参数The未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-44861

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247523853&idx=3&sn=fab3ee466334a0022b2df23ab6a23217&chksm=ce46151df9319c0b47c29456be191ccb1e9aa5c9d308c5e785ba7c175b75b7a3f6afe84ca4d6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh