久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

(20250210-20250216)

一、境外廠(chǎng)商產(chǎn)品漏洞

1、Hitachi Energy RTU500 series CMU Firmware跨站腳本漏洞

RTU500是日本日立制作所（Hitachi）公司的一系列工控組件，主要用于工業(yè)控制系統(tǒng)。Hitachi Energy RTU500 series CMU Firmware存在跨站腳本漏洞，該漏洞源于RDT語(yǔ)言文件未得到正確清理，攻擊者可利用漏洞在web服務(wù)器上執(zhí)行跨站腳本。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02740

2、Hitachi Energy RTU500 series CMU firmware緩沖區(qū)溢出漏洞

RTU500是日本日立制作所（Hitachi）公司的一系列工控組件，主要用于工業(yè)控制系統(tǒng)。Hitachi Energy RTU500 series CMU firmware HCI Modbus TCP功能存在緩沖區(qū)溢出漏洞，該漏洞源于啟用并配置了HCI Modbus TCP，攻擊者可利用漏洞通過(guò)向RTU500高速發(fā)送特制消息，導(dǎo)致HCI Modbus TCP功能中的內(nèi)部堆棧溢出，并最終導(dǎo)致RTU500 CMU重新啟動(dòng)。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02742

3、Hitachi Energy RTU500 Scripting interface?信任管理問(wèn)題漏洞

RTU500是日本日立制作所（Hitachi）公司的一系列工控組件，主要用于工業(yè)控制系統(tǒng)。RTU500 Scripting interface?是Hitachi Energy RTU500系列工控組件的一部分，主要用于提供腳本編程接口，以實(shí)現(xiàn)特定的自動(dòng)化控制和數(shù)據(jù)處理功能。該接口支持通過(guò)腳本編程來(lái)控制RTU500的各項(xiàng)功能，包括數(shù)據(jù)采集、控制命令的執(zhí)行等。Hitachi Energy RTU500 Scripting interface?存在信任管理問(wèn)題漏洞，該漏洞源于客戶(hù)端不驗(yàn)證證書(shū)的參數(shù)，攻擊者可利用漏洞通過(guò)偽造身份并攔截通過(guò)腳本接口發(fā)起的消息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02738

4、IBM Maximo Application Suite跨站腳本漏洞（CNVD-2025-02820）

IBM Maximo Application Suite是美國(guó)國(guó)際商業(yè)機(jī)器（IBM）公司的一個(gè)為智能資產(chǎn)管理、監(jiān)控、維護(hù)、計(jì)算機(jī)視覺(jué)、安全性和可靠性提供的單一平臺(tái)。IBM Maximo Application Suite 9.0.0版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對(duì)用戶(hù)提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，攻擊者可利用該漏洞在Web UI中嵌入任意JavaScript代碼，從而改變預(yù)期功能，可能導(dǎo)致受信任會(huì)話(huà)中的憑據(jù)泄露。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02820

5、Samsung libsdffextractor庫(kù)輸入驗(yàn)證錯(cuò)誤漏洞（CNVD-2025-02729）

Samsung libsdffextractor庫(kù)是三星（Samsung）移動(dòng)設(shè)備的一個(gè)組件。Samsung libsdffextractor庫(kù)存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于libsapeextractor庫(kù)中sdfffd_parse_chunk_PROP()存在錯(cuò)誤的輸入驗(yàn)證邏輯，攻擊者可利用該漏洞在mediaextractor進(jìn)程上執(zhí)行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02729

二、境內(nèi)廠(chǎng)商產(chǎn)品漏洞

1、北京宏景世紀(jì)軟件股份有限公司宏景HCM存在SQL注入漏洞

宏景HCM是一款基于人力資源從管理到服務(wù)經(jīng)營(yíng)的轉(zhuǎn)型升級(jí)的人力資本管理系統(tǒng)。北京宏景世紀(jì)軟件股份有限公司宏景HCM存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01298

2、TP-LINK TL-WR940N緩沖區(qū)溢出漏洞（CNVD-2025-02852）

TP-LINK TL-WR940N是中國(guó)普聯(lián)（TP-LINK）公司的一款無(wú)線(xiàn)路由器。TP-LINK TL-WR940N存在緩沖區(qū)溢出漏洞，該漏洞源于/userRpm/Wan6to4TunnelCfgRpm.htm中的dnsserver1和dnsserver2參數(shù)在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。攻擊者可利用該漏洞在root用戶(hù)環(huán)境中在遠(yuǎn)程設(shè)備上執(zhí)行任意代碼。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02852

3、TP-LINK TL-WDR7660 wacWhitelistJsonToBin函數(shù)緩沖區(qū)溢出漏洞

?TP-LINK TL-WDR7660是中國(guó)普聯(lián)（TP-LINK）公司的一款千兆路由器。TP-LINK TL-WDR7660 1.0版本存在緩沖區(qū)溢出漏洞，該漏洞源于wacWhitelistJsonToBin函數(shù)在處理參數(shù)字符串名稱(chēng)時(shí)未進(jìn)行檢查，遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02853

4、Tenda AC18命令注入漏洞（CNVD-2025-02899）

Tenda AC18是中國(guó)騰達(dá)（Tenda）公司的一款路由器。Tenda AC18 15.03.05.19版本存在命令注入漏洞，該漏洞源于formSetSambaConf函數(shù)的usbName參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02899

5、D-Link DAR-7000-40 resmanage.php命令注入漏洞

DAR-7000-40是一款適用于政府、金融、保險(xiǎn)、酒店、中小型企業(yè)、教育行業(yè)等多領(lǐng)域的網(wǎng)絡(luò)設(shè)備?。它提供專(zhuān)業(yè)的流量管理能力、強(qiáng)大的內(nèi)容審計(jì)、先進(jìn)的上網(wǎng)行為管理和高效的防火墻等多種實(shí)用功能，能夠通過(guò)識(shí)別和管理網(wǎng)絡(luò)數(shù)據(jù)流應(yīng)用層，為用戶(hù)提供可視化的網(wǎng)絡(luò)管理體驗(yàn)?。D-Link DAR-7000-40 /useratte/resmanage.php存在os命令注入漏洞，該漏洞源于對(duì)參數(shù)load的操作。攻擊者可利用該漏洞導(dǎo)致操作系統(tǒng)命令注入。

參考鏈接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-02723

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)