(20241216-20241222)

一、境外廠商產品漏洞

1、Google Chrome安全繞過漏洞（CNVD-2024-48384）

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Chrome存在安全繞過漏洞，攻擊者可利用該漏洞繞過安全限制。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48384

2、Siemens SIMATIC PCS neo緩沖區(qū)溢出漏洞

SIMATIC PCS neo是一款完全基于Web的過程控制系統(tǒng)。Siemens SIMATIC PCS neo存在緩沖區(qū)溢出漏洞，未經身份驗證的遠程攻擊者可利用漏洞執(zhí)行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48432

3、Adobe Substance 3D Painter緩沖區(qū)溢出漏洞（CNVD-2024-48222）

Adobe Substance 3D Painter是美國奧多比（Adobe）公司的一個3D紋理處理應用程序。Adobe Substance 3D Painter 10.1.0版本及之前版本存在安全漏洞，攻擊者可利用該漏洞導致敏感內存泄露。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48222

4、Apache Tomcat遠程代碼執(zhí)行漏洞

Apache Tomcat是美國阿帕奇（Apache）軟件基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page（JSP）的支持。Apache Tomcat中存在遠程代碼執(zhí)行漏洞，該漏洞是由于web.xml中開啟readonly為false的配置，攻擊者可利用該漏洞以條件競爭進行文件上傳導致命令執(zhí)行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48575

5、多款Mozilla產品安全繞過漏洞（CNVD-2024-48561）

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個延長支持版本。Mozilla Thunderbird是電子郵件客戶端軟件，支持IMAP、POP郵件協(xié)議以及HTML郵件格式。多款Mozilla產品存在安全繞過漏洞，該漏洞源于下載.library-ms文件時未顯示可執(zhí)行文件警告。攻擊者可利用該漏洞繞過下載保護。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48561

二、境內廠商產品漏洞

1、中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞

方德桌面操作系統(tǒng)是國產操作系統(tǒng)，適配海光、兆芯、飛騰、龍芯、申威、鯤鵬等國產CPU，支持x86、ARM、MIPS等主流架構。中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務器權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48032

2、浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在命令執(zhí)行漏洞

浙江大華股份有限公司是領先的監(jiān)控產品供應商和解決方案服務商，面向全球提供領先的視頻存儲、前端、顯示控制和智能交通等系列化產品，并提供提供熱成像測溫和黑體測溫設備。浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務器權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48022

3、用友網絡科技股份有限公司用友U8Cloud存在SQL注入漏洞（CNVD-2024-47756）

用友U8cloud是用友推出的新一代云ERP，主要聚焦成長型、創(chuàng)新型企業(yè)，提供企業(yè)級云ERP整體解決方案。用友網絡科技股份有限公司用友U8Cloud存在SQL注入漏洞，攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47756

4、浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞

浙江大華技術股份有限公司是全球領先的以視頻為核心的智慧物聯(lián)解決方案提供商和運營服務商。浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞，攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-47764

5、中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞

方德桌面操作系統(tǒng)是國產操作系統(tǒng)，適配海光、兆芯、飛騰、龍芯、申威、鯤鵬等國產CPU，支持x86、ARM、MIPS等主流架構。中科方德軟件有限公司方德桌面操作系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務器權限。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-48031

說明：關注度分析由CNVD根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺