(20241125-20241201)

一、境外廠商產(chǎn)品漏洞

1、Google Pixel gsc_gsa.c文件緩沖區(qū)溢出漏洞

Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Pixel存在緩沖區(qū)溢出漏洞，該漏洞源于gsc_gsa.c的gsc_gsa_rescue中邊界檢查不正確，攻擊者可利用該漏洞導致越界讀取。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45883

2、Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2024-45988）

Siemens Tecnomatix Plant Simulation是德國西門子（Siemens）公司的一個工控設備。利用離散事件仿真的功能進行生產(chǎn)量分析和優(yōu)化，進而改善制造系統(tǒng)性能。Siemens Tecnomatix Plant Simulation存在越界寫入漏洞，攻擊者可利用該漏洞在當前進程的上下文中執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45988

3、Google Pixel virtio_ring.h文件整數(shù)溢出漏洞

Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Pixel存在整數(shù)溢出漏洞，該漏洞源于external/headers/include/virtio/virtio_ring.h的vring_size中整數(shù)溢出，攻擊者可利用該漏洞導致越界寫入。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45890

4、Siemens Tecnomatix Plant Simulation越界讀取漏洞（CNVD-2024-45994）

Siemens Tecnomatix Plant Simulation是德國西門子（Siemens）公司的一個工控設備。利用離散事件仿真的功能進行生產(chǎn)量分析和優(yōu)化，進而改善制造系統(tǒng)性能。Siemens Tecnomatix Plant Simulation存在越界讀取漏洞，攻擊者可利用該漏洞在當前進程的上下文中執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45994

5、Google Pixel trusty_shared_memory_manager.cc文件緩沖區(qū)溢出漏洞

Google Pixel是美國谷歌（Google）公司的一款智能手機。Google Pixel存在緩沖區(qū)溢出漏洞，該漏洞源于在ondevice/trusty/trusty_shared_memory_manager.cc的TrustySharedMemoryManager::GetSharedMemory中邊界檢查不正確，攻擊者可利用該漏洞導致越界讀取。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45889

二、境內(nèi)廠商產(chǎn)品漏洞

1、D-LINK DI-8400遠程命令執(zhí)行漏洞

D-LINK DI-8400是美國D-Link公司的一款路由器設備，用于家庭和小型企業(yè)的網(wǎng)絡連接。D-LINK DI-8400 v16.07.26A1版本中的msp_info_htm函數(shù)通過flag和cmd參數(shù)存在多個遠程命令執(zhí)行漏洞。遠程攻擊者可利用該漏洞執(zhí)行任意命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-46256

2、廈門四信通信科技有限公司設備管理平臺存在未授權訪問漏洞

廈門四信通信科技有限公司是全球領先的物聯(lián)網(wǎng)通信設備及解決方案服務提供商。廈門四信通信科技有限公司設備管理平臺存在未授權訪問漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-46578

3、帆軟軟件有限公司帆軟報表存在文件上傳漏洞

帆軟報表是一款純Java編寫的、集數(shù)據(jù)展示（報表）和數(shù)據(jù)錄入（表單）功能于一身的企業(yè)級web報表工具。帆軟軟件有限公司帆軟報表存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務器權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-45455

4、廣州恒企教育科技有限公司HkCms文件上傳漏洞

HkCms是廣州恒企教育科技有限公司開源的一款免費開源內(nèi)容管理系統(tǒng)。廣州恒企教育科技有限公司HkCms存在文件上傳漏洞，該漏洞源于在/app/common/library/Upload.php中的getFileName方法中存在文件上傳漏洞。攻擊者可利用該漏洞上傳并執(zhí)行惡意文件，從而獲取或破壞系統(tǒng)數(shù)據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-46246

5、D-Link DI-8400 arp_sys_asp緩沖區(qū)溢出漏洞

D-Link DI-8400是中國友訊（D-Link）公司的一款無線路由器。D-Link DI-8400 arp_sys_asp存在緩沖區(qū)溢出漏洞，遠程攻擊者可以利用該漏洞提交特殊的請求，可使服務程序崩潰或以應用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-46395

說明：關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

文章來源：CNVD漏洞平臺