|
各大廠牌軟硬體高風險弱點摘要
|
| 廠牌 |
軟硬體型號 |
弱點數量 |
說明 |
CVE ID |
| wphealth | WP Umbrella: Update Backup Restore & Monitoring | 1 | WordPress 2.17.0 (含)之前版本存在遠端程式碼執行弱點。該弱點允許未經身份驗證的攻擊者可以在伺服器上包含並執行任意文件,從而允許執行這些文件中的任何 PHP 程式碼。這可用於繞過存取控制、獲取機敏資訊或在可以上傳和包含映像和其他「安全性」檔案類型的情況下實現程式碼執行情況。 | CVE-2024-12209
|
| Progress Software Corporation | WhatsUp Gold | 1 | WhatsUp Gold 2024.0.1 (含)之前版本存遠端程式碼執行弱點。該弱點允許未經身份驗證的遠端攻擊者可以利用此弱點在服務帳戶的上下文中執行程式碼情況。 | CVE-2024-46909
|
| Owen Cutajar & Hyder Jaffari | WordPress Auction Plugin | 1 | Owen Cutajar 和 Hyder Jaffari WordPress 存在SQL 注入弱點。該弱點允許拍賣外掛程式中的 SQL 指令中使用的特殊元素的不正確中和弱點允許 SQL 注入情況。 | CVE-2024-51615
|
| Progress Software Corporation | WhatsUp Gold | 1 | WhatsUp Gold 2024.0.1 (含)之前版本存遠端程式碼執行弱點。該弱點允許未經身份驗證的遠端攻擊者可以利用 NmAPI.exe 建立或更改登錄路徑中的現有登錄值,進而執行任意程式碼情況。 | CVE-2024-8785
|
| Apache Software Foundation | Apache Hive | 1 | Apache Hive Metastore (HMS) 存在遠端程式碼執行 (RCE) 弱點。該弱點允許呼叫不安全方法的程式碼執行,進而對輸入參數執行額外的預重新檢查情況。 | CVE-2022-41137
|
| Google | Chrome | 1 | Google Chrome V8 131.0.6778.108 之前版本存在遠端程式碼執行 (RCE) 弱點。該弱點允許遠端攻擊者透過偽造 HTML 頁面潛在地利用物件損壞情況。 | CVE-2024-12053
|
| Devolutions | Remote Desktop Manager | 1 | Windows Devolutions 遠端桌面管理器 2024.3.19.0 (含)之前版本存在權限驗證弱點。該弱點允許請求條目臨時權限的經過驗證的使用者獲得比請求更多的權限情況。 | CVE-2024-12149
|
| Dell | NetWorker | 1 | Dell NetWorker 19.10 之前版本存在驗證弱點。該弱點允許未經身份驗證的遠端存取攻擊者執行遠端程式碼,進而導致資訊洩露情況。 | CVE-2024-42422
|
| Apache Software Foundation | Apache Ozone | 1 | Apache Ozone 1.4.0 的 S3 閘道存在驗證弱點。該弱點允許 HTTP 端點的不正確驗證允許任何經過驗證的 Kerberos 使用者撤銷並重新產生任何其他使用者的 S3 金鑰情況。 | CVE-2024-45106
|
| SonicWall | SMA100 | 1 | SonicWall SMA100 SSLVPN Web 管理介面存在遠端程式碼執行 (RCE) 弱點。該弱點允許遠端攻擊者導致基於堆疊緩衝區溢出,進而造成遠端程式碼執行情況。 | CVE-2024-45318
|
| SonicWall | SMA100 | 1 | SonicWall SMA100 SSLVPN 韌體版本 10.2.1.13-72sv 及更早版本中的 mod_httprp 函式庫(由 Apache 網頁伺服器加載)存在一個漏洞,允許遠端攻擊者觸發基於堆疊的緩衝區溢位,並可能導致代碼執行的風險。 | CVE-2024-53703
|
| JetBrains | YouTrack | 1 | 在 JetBrains YouTrack 2024.3.51866 之前的版本中,由於插件沙盒中的路徑遍歷漏洞,可能導致系統被接管的風險。 | CVE-2024-54154
|
| Google | Android | 1 | Google Pixel存在安全漏洞,此漏洞源自於rpc_msg_handler和drivers/misc/mediatek/eccci/port_rpc.c的相關處理程序中存在邊界檢查不正確,導致越界寫入。 | CVE-2018-9376
|
| Google | Android | 1 | Google Pixel存在安全漏洞,此漏洞源自於在gatt_sr.c的gatts_process_read_by_type_req中存在資料未初始化,從而導致資訊外洩。 | CVE-2018-9381
|
| Google | Android | 1 | Google Pixel存在安全漏洞,該漏洞源自於缺少邊界檢查或整數下溢,導致越界寫入。攻擊者利用該漏洞可以升級權限。 | CVE-2018-9388
|
| Google | Android | 1 | Google Pixel存在安全漏洞,此漏洞源自於在vendor/mediatek/proprietary/hardware/connectivity/gps/gps_hal/src/data_coder.c的get_binary中缺少邊界檢查,可能存在越界寫入。 | CVE-2018-9392
|
| Google | Android | 1 | Google Pixel存在安全漏洞,此漏洞源自於在drivers/misc/mediatek/connectivity/wlan/gen2/os/linux/gl_proc.c的procfile_write中缺少邊界檢查,可能存在越界寫入。 | CVE-2018-9393
|
| Google | Android | 1 | Google Pixel存在安全漏洞,此漏洞源自於在drivers/misc/mediatek/connectivity/wlan/gen2/os/linux/gl_p2p.c的mtk_p2p_wext_set_key中輸入驗證不正確,可能存在越界寫入。 | CVE-2018-9394
|
| Google | Android | 1 | Google Pixel存在安全漏洞,該漏洞源自於在drivers/misc/mediatek/connectivity/wlan/gen2/os/linux/gl_vendor.c的mtk_cfg80211_vendor_packet_keep_alive_start和mtk_cfg80211_vendor_set_config中缺少邊界檢查,可能存在寫入邊界檢查,可能存在。 | CVE-2018-9395
|
| Google | Android | 1 | Google Pixel有安全漏洞,此漏洞源自於在drivers/misc/mediatek/eccci/port_rpc.c的rpc_msg_handler和相關處理程序中邊界檢查不正確,可能存在越界寫入 | CVE-2018-9396
|
| Google | Android | 1 | 在 MTK WMT 裝置驅動程式的 WMT_unlocked_ioctl 中,由於缺少邊界檢查,可能存在 OOB 寫入。這可能會導致本地權限升級並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9397
|
| Google | Android | 1 | 在 mediatek FM 收音機驅動程式的 fm_set_stat 中,由於輸入驗證不當,可能會出現 OOB 寫入。這可能會導致本地權限升級並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9398
|
| Google | Android | 1 | 在 /proc/driver/wmt_dbg 驅動程式中,有幾個可能的越界寫入。這些可能會導致本地權限升級以及所需的系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9399
|
| Google | Android | 1 | 在 drivers/input/touchscreen/mediatek/GT1151/gt1x_generic.c 和 gt1x_tools.c 的 gt1x_debug_write_proc 和 gt1x_tool_write 中,由於缺少邊界檢查,可能存在越界寫入。這可能會導致本地權限升級並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9400
|
| Google | Android | 1 | 在 flp2hal_-interface.c 的 MTK_FLP_MSG_HAL_DIAG_REPORT_DATA_NTF 處理程序中,由於缺少邊界檢查,可能存在堆疊緩衝區溢位。這可能會導致需要系統執行權限的特權程序中的本機權限升級。利用該漏洞不需要使用者互動。 | CVE-2018-9403
|
| Google | Android | 1 | ril.cpp的oemCallback中,由於整數溢出,可能存在越界寫入的情況。這可能會導致本地權限升級並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9404
|
| Google | Android | 1 | 在 com_android_bluetooth_gatt.cpp 的 gattServerSendResponseNative 中,由於缺少邊界檢查,可能存在越界堆疊寫入。這可能會導致本地權限升級並需要使用者執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9414
|
| Google | Android | 1 | 在 OSUInfo.java 的 OSUInfo 中,由於輸入驗證不當,可能會導致權限升級。這可能會導致本地權限升級,而無需額外的執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9431
|
| Google | Android | 1 | 在af_packet.c的__unregister_prot_hook和packet_release中,由於鎖定不當,可能存在釋放後使用的情況。這可能會導致核心中的本地權限升級,並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9439
|
| Google | Android | 1 | 在 ftm4_pdc.c 的 store_cmd 中,由於邊界檢查不正確,可能存在越界寫入。這可能會導致本地權限升級並需要系統執行權限。利用該漏洞不需要使用者互動。 | CVE-2018-9462
|
| Google | Android | 1 | 在 sw49408_irq_runtime_engine_debug 的 touch_sw49408.c 中,由於邊界檢查不正確,可能會發生超出範圍的寫入。這可能導致需要系統執行權限的情況下,本地權限升級。此弱點不需要使用者互動即可被利用。 | CVE-2018-9463
|
| Drupal | Drupal Core | 1 | Drupal Core 中存在一個弱點,允許過度分配資源。此問題影響 Drupal Core:從 10.2.0 至 10.2.2 之前的版本,以及從 10.1.0 至 10.1.8 之前的版本。 | CVE-2024-11941
|
| SonicWall | SMA100 | 1 | SonicWall SMA100 SSLVPN 中因使用 strcpy 函式,存在基於記憶體堆的緩衝區溢位弱點。這使得遠端經過身份驗證的攻擊者可以觸發記憶體堆溢位,可能進而導致程式碼執行。 | CVE-2024-40763
|
| IBM | Cognos Controller | 1 | IBM Cognos Controller 11.0.0 和 11.0.1 包含硬編碼的憑證,例如密碼或加密金鑰,這些用於其自身的入站身份驗證、與外部元件的出站通訊或內部資料的加密。 | CVE-2024-41777
|
| Hitachi | Hitachi Ops Center Common Services | 1 | Hitachi Ops Center OVA 的 Hitachi Ops Center Common Services 中存在認證憑證洩漏弱點。此問題影響 Hitachi Ops Center Common Services:從 10.9.3-00 至 11.0.3-00 之前的版本;Hitachi Ops Center OVA:從 10.9.3-00 至 11.0.2-01 之前的版本。 | CVE-2024-45068
|
| IBM | AIX | 1 | IBM AIX 7.2、7.3 和 VIOS 3.1 及 4.1 可能允許本地使用者因輸入中和處理不當而執行任意指令。 | CVE-2024-47115
|
| Dell | NetWorker Management Console | 1 | Dell NetWorker 管理主控台 19.11 版本中存在加密簽章驗證不當的弱點。未經身份驗證的攻擊者具有本地存取權限,可能利用此弱點導致程式碼執行。 | CVE-2024-47476
|
| Zyxel | VMG8825-T50K firmware | 1 | 在 Zyxel VMG8825-T50K 的韌體版本 V5.50(ABOM.8.4)C0 中,第三方函式庫 "libclinkc" 的封包解析器存在緩衝區溢位弱點。攻擊者可能透過向受影響的裝置發送精心構造的 HTTP POST 請求,導致網頁管理介面發生短暫的拒絕服務(DoS)狀態。 | CVE-2024-8748
|
| Zyxel | VMG4005-B50A firmware | 1 | 在 Zyxel VMG4005-B50A 的韌體版本 V5.15(ABQA.2.2)C0 中,"host" 參數的診斷功能存在後驗證的指令注入弱點。經過身份驗證並具有管理員權限的攻擊者可能執行受影響裝置上的作業系統(OS)指令。 | CVE-2024-9200
|
