各大廠牌軟硬體高風險弱點摘要
|
廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
adobe | animate | 1 | Adobe Animate 版本 24.0、23.0.3 和更早版本存在一個越界寫入弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20761
|
adobe | bridge | 1 | Bridge 版本 13.0.5、14.0.1 和更早版本存在一個 Use After Free 弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20752
|
adobe | bridge | 1 | Bridge 版本 13.0.5、14.0.1 和之前版本存在一個緩衝區溢位弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20755
|
adobe | bridge | 1 | Bridge 版本 13.0.5、14.0.1 和更早版本存在一個越界寫入弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20756
|
adobe | coldfusion | 1 | ColdFusion 版本 2023.6、2021.12 和更早版本存在一個不當訪問控制弱點,可能導致讀取任意文件系統。攻擊者可以利用此弱點繞過安全措施,可以再未經授權的狀況訪問敏感文件並執行任意文件系統寫入。 | CVE-2024-20767
|
adobe | lightroom_desktop | 1 | Lightroom Desktop 版本 7.1.2 和更早版本存在一個不受信任的搜索路徑弱點,可能導致在當前使用者的上下文中執行任意程式碼。如果應用程式使用搜索路徑來定位關鍵資源,例如程式,那麼攻擊者可以修改該搜索路徑,指向一個惡意程式,被攻擊的應用程式將執行該惡意程式。 | CVE-2024-20754
|
adobe | premiere_pro | 1 | Premiere Pro 版本 24.1、23.6.2 和更早版本存在一個緩衝區溢位弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20745
|
adobe | premiere_pro | 1 | Premiere Pro 版本 24.1、23.6.2 和更早版本存在一個越界寫入弱點,可能導致在當前使用者的上下文中執行任意程式碼。 | CVE-2024-20746
|
dell | poweredge_platform | 1 | Dell PowerEdge Server BIOS 有一個緩衝區溢位弱點。一個高權限攻擊者可能會利用這個弱點寫入到未經授權的記憶體中。 | CVE-2024-22453
|
delta_electronics | diaenergie | 1 | GetDIAE_unListParameters 中存在 SQL injection 弱點 | CVE-2024-23494
|
delta_electronics | diaenergie | 1 | GetDIAE_slogListParameters 中存在 SQL injection 弱點 | CVE-2024-23975
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 存在路徑遍歷弱點。攻擊者可能藉由該弱點意外寫入目錄檔案,進而存取機敏資訊。 | CVE-2024-25567
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 的參數 GetDIAE_astListParameters 存在 SQL 注入弱點。 | CVE-2024-25937
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 存在權限驗證弱點。攻擊者可能藉由該弱點規避驗證授權,進而存取特權功能的情況。 | CVE-2024-28029
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 的參數 GetDIAE_astListParameters 存在 SQL 注入弱點。 | CVE-2024-28040
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 存在路徑遍歷弱點。攻擊者可能藉由該弱點意外寫入目錄檔案,進而存取機敏資訊。 | CVE-2024-28171
|
delta_electronics | diaenergie | 1 | Delta 產品 DIAEnergie (工業能源管理系統) 的腳本 Handler_CFG.ashx 存在 SQL 注入弱點。 | CVE-2024-28891
|
geoserver | geoserver | 1 | GeoServer 2.23.4 之前版本存在路徑遍歷弱點。若攻擊者具存取管理控制台的 GeoServer 管理員,可藉由該弱點將日誌檔案位置的全域設定錯誤配置到任意位置,並可使用「GEOSERVER_LOG_FILE」設定來覆寫「全域設定」頁面提供的任何設定選項等情況。 | CVE-2023-41877
|
geoserver | geoserver | 1 | GeoServer 2.23.4 之前版本、2.24.1 之前版本存在驗證弱點。該弱點允許經過身份驗證的管理員透過 REST Coverage Store API 修改覆蓋率記憶體,將任意檔案內容上傳到任意位置,進而導致遠端程式碼執行。已在版本 2.23.4、2.24.1 中修復。 | CVE-2023-51444
|
github | github | 1 | GitHub Enterprise Server 存在命令注入弱點,該弱點可能允許管理控制台中具有編輯者角色的攻擊者在配置 GeoJSON 設定時取得設備管理員 SSH 存取權限。 該弱點影響 的 GitHub Enterprise Server 的所有3.13 (含)之前版本,已在版本 3.8.17、3.9.12、3.10.9、3.11.7 和 3.12.1 中修復。 | CVE-2024-2443
|
ibm | cloud_pak_for_automation | 1 | IBM Cloud Pak for Automation 18.0.2 (含)之前版本、19.0.3 (含)之前版本、20.0.3 (含)之前版本、21.0.3 (含)之前版本、22.0.2 (含)之前版本存在 CSV 注入的攻擊。由於 csv 檔案未正確驗證,遠端攻擊者可以藉由該弱點在受影響系統上執行任意指令。 | CVE-2023-35899
|
microsoft | microsoft_.net_framework_4.8 | 1 | Microsoft 的 .NET Framework 4.8 版本存在弱點,該弱點可能會造成資訊外洩情況。 | CVE-2024-29059
|
microsoft | microsoft -- xbox_gaming_services | 1 | Xbox遊戲服務權限提升弱點 | CVE-2024-28916
|
Pandora | pandora_fms -- pandora_fms | 1 | 在Pandora FMS的所有版本中存在SQL注入弱點,該弱點使得身份驗證失敗也可以進行SQL注入。此問題影響Pandora FMS版本為700至776。 | CVE-2023-44091
|
Pandora | pandora_fms -- pandora_fms | 1 | 在Pandora FMS的所有版本中存在OS指令注入弱點,該弱點允許創建反向shell並在操作系統中執行指令。此問題影響Pandora FMS版本為700至776。 | CVE-2023-44092
|
post | post_smtp -- post_smtp | 1 | 在Post SMTP中存在跨站腳本(XSS)弱點,該弱點允許反射式XSS攻擊。此問題影響Post SMTP版本n/a至2.8.6。 | CVE-2024-29128
|
Python | python_software_foundation -- cpython | 1 | 在CPython的tempfile.TemporaryDirectory中發現了一個問題,影響版本為3.12.2、3.11.8、3.10.13、3.9.18和3.8.18及更早版本。tempfile.TemporaryDirectory在處理權限相關錯誤時會引用符號連結。這意味著可以運行特權程式的用戶在某些情況下可能能夠修改符號連結引用的文件的權限。 | CVE-2023-6597
|
sailpoint | sailpoint -- identityiq | 1 | 這個弱點允許存取應用程式服務器文件系統中的任意文件,原因是JavaServer Faces(JSF)2.2.20中的路徑遍歷弱點(CVE-2020-6950)。此安全修復中的緩解措施提供了2021年5月公告的緩解措施所提供的額外變更,該公告由ETN IIQSAW-3585追蹤,以及2024年1月由IIQFW-336追蹤。IdentityIQ中的此弱點被指定為CVE-2024-2227。 | CVE-2024-2227
|
sailpoint | sailpoint -- identityiq | 1 | 此弱點允許經過身份驗證的用戶在定義的QuickLink群體之外執行Lifecycle Manager流程或其他QuickLink。 | CVE-2024-2228
|
tenda | tenda -- ac10 | 1 | 在 Tenda AC10U 1.0/15.03.06.49 中發現的一個被歸類為嚴重的弱點,影響了 /goform/SetNetControlList 文件中的 formSetQosBand 功能。通過對參數列表的操作導致了基於堆疊的緩衝區溢出。攻擊可以遠端啟動。此弱點的識別符號為VDB-257456 | CVE-2024-2581
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/WifiWpsStart 文件中的 formWifiWpsStart 功能。通過對參數列表的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257457 | CVE-2024-2711
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/execCommand 文件中的 formexeCommand 功能。通過對參數 cmdinput 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257459 | CVE-2024-2703
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/SetStaticRouteCfg 文件中的 fromSetRouteStatic 功能。通過對參數列表的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257460 | CVE-2024-2704
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/openSchedWifi 文件中的 setSchedWifi 功能。通過對參數 schedStartTime 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257461 | CVE-2024-2705
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.48 中發現的一個被歸類為關鍵的弱點,影響了 /goform/setcfm 文件中的 formSetCfm 功能。通過對參數 funcpara1 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257600 | CVE-2024-2706
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/execCommand 文件中的 formexeCommand 功能。通過對參數 cmdinput 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257459 | CVE-2024-2708
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/SetStaticRouteCfg 文件中的 fromSetRouteStatic 功能。通過對參數列表的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257460 | CVE-2024-2709
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.49 中發現的一個被歸類為關鍵的弱點,影響了 /goform/openSchedWifi 文件中的 setSchedWifi 功能。通過對參數 schedStartTime 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257461 | CVE-2024-2710
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.48 中發現的一個被歸類為關鍵的弱點,影響了 /goform/setcfm 文件中的 formSetCfm 功能。通過對參數 funcpara1 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257600 | CVE-2024-2763
|
tenda | tenda -- ac10u | 1 | 在 Tenda AC10U 15.03.06.48 中發現的一個被歸類為關鍵的弱點,影響了 /goform/SetPptpServerCfg 文件中的 formSetPPTPServer 功能。通過對參數 endIP 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257601 | CVE-2024-2764
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.20_multi 中發現的一個被歸類為關鍵的弱點,影響了 /goform/fast_setting_wifi_set 文件中的 form_fast_setting_wifi_set 功能。通過對參數 ssid 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257668 | CVE-2024-2813
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.20_multi 中發現的一個被歸類為關鍵的弱點,影響了 /goform/DhcpListClient 文件中的 fromDhcpListClient 功能。通過對參數 page 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257669 | CVE-2024-2814
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.20_multi 中發現的一個被歸類為關鍵的弱點,影響了 /goform/execCommand 文件中的 R7WebsSecurityHandler 功能(元件 Cookie Handler)。通過對參數 password 的操縱導致了基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的識別符號為:VDB-257670 | CVE-2024-2815
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現的一個被歸類為嚴重的弱點,影響了 /goform/SetSpeedWan 文件中的 formSetSpeedWan 功能。對參數 speed_dir 的操縱導致基於堆疊的緩衝區溢出。可以遠端發起攻擊。此弱點的標識符為 VDB-257660。 | CVE-2024-2805
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現了一個嚴重漏洞。 這會影響檔案 /goform/addWifiMacFilter 的函數 addWifiMacFilter。 對參數 deviceId/deviceMac 的操作會導致基於堆疊的緩衝區溢位。 可以遠端發動攻擊。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2806
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現了一個嚴重漏洞。 此漏洞影響檔案/goform/expandDlnaFile的formExpandDlnaFile函數。 對參數 filePath 的操作會導致基於堆疊的緩衝區溢位。 攻擊可以遠端發動。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2807
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現了一個嚴重漏洞。 此問題影響檔案 /goform/QuickIndex 的 formQuickIndex 功能。 對參數 PPPOEPassword 的操作會導致基於堆疊的緩衝區溢位。 攻擊可能是遠程發起的。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2808
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現了一個嚴重漏洞。 受影響的是檔案/goform/SetFirewallCfg 的函數formSetFirewallCfg。 對參數firewallEn 的操作會導致基於堆疊的緩衝區溢位。 可以遠端發動攻擊。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2809
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.05.18/15.03.20_multi 中發現一個嚴重漏洞。 受此漏洞影響的是檔案/goform/WifiWpsOOB 的函數formWifiWpsOOB。 對參數索引的操作會導致基於堆疊的緩衝區溢位。 攻擊可以遠端發動。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2810
|
tenda | tenda -- ac15 | 1 | 在 Tenda AC15 15.03.20_multi 中發現嚴重漏洞。 受此問題影響的是檔案/goform/WifiWpsStart 中的函數formWifiWpsStart。 對參數索引的操作會導致基於堆疊的緩衝區溢位。 攻擊可能是遠程發起的。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2811
|
tenda | tenda -- ac18 | 1 | 在 Tenda AC18 15.13.07.09 中發現嚴重漏洞。 受此漏洞影響的是函數fromSetWirelessRepeat。 對參數 wpapsk_crypto5g 的操作會導致基於堆疊的緩衝區溢位。 攻擊可以遠端發動。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2546
|
tenda | tenda -- ac18 | 1 | 在 Tenda AC18 15.03.05.05 中發現嚴重漏洞。 受此問題影響的是函數R7WebsSecurityHandler。 對參數密碼的操作會導致基於堆疊的緩衝區溢位。 攻擊可能是遠程發起的。 該漏洞已向公眾披露並可能被使用。 | CVE-2024-2547
|
tenda | tenda -- ac18 | 1 | 在 Tenda AC18 15.03.05.05 中發現嚴重漏洞。 此問題影響檔案 /goform/execCommand 的函數 formexeCommand。 對參數 cmdinput 的操作會導致基於堆疊的緩衝區溢位。攻擊可能是遠程發起的。該漏洞已經被公開披露,可能被利用。。 | CVE-2024-2558
|