1、SAP NetWeaver Enterprise Portal跨站脚本漏洞(CNVD-2024-49627)
SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面,它允许业务用户轻松管理SAP Commerce Cloud中的任何类型的数据。SAP NetWeaver Enterprise Portal存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627
2、Fortinet FortiOS访问控制错误漏洞(CNVD-2024-49648)
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS存在访问控制错误漏洞,该漏洞源于包含一个会话固定问题。攻击者可利用该漏洞通过网络钓鱼SAML身份验证链接执行未经授权的代码或命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49648
3、Dell OpenManage Server Administrator授权问题漏洞
Dell OpenManage Server Administrator(Dell OMSA)是美国戴尔(Dell)公司的一种软件代理。以两种方式提供全面的一对一系统管理解决方案。Dell OpenManage Server Administrator 11.0.1.0及之前版本存在授权问题漏洞,该漏洞源于包含不正确的权限改造,攻击者可利用该漏洞导致未经授权的权限提升。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49621
4、Adobe Substance 3D Painter越界写入漏洞(CNVD-2025-00206)
Adobe Substance 3D Painter是美国奥多比(Adobe)公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter存在越界写入漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2025-00206
5、SAP Commerce Backoffice跨站脚本漏洞
SAP Commerce Backoffice是一个用于管理和维护电子商务网站的强大工具,允许管理员和运营团队轻松地管理网站内容和配置。SAP Commerce Backoffice存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49628
二、
境内厂商产品漏洞
1、用友网络科技股份有限公司YonBIP存在信息泄露漏洞
YonBIP是用友集团倾力打造的数智化商业创新平台,旨在帮助企业实现数智化转型和商业创新。用友网络科技股份有限公司YonBIP存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49050
2、青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞(CNVD-2024-49052)
东胜物流软件是青岛东胜伟业软件有限公司一款集订单管理、仓库管理、运输管理等多种功能于一体的物流管理软件。青岛东胜伟业软件有限公司东胜物流软件存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-49052
3、武汉达梦数据库股份有限公司达梦新云缓存数据库存在二进制漏洞
达梦新云缓存数据库(DMCDM)是一款深度兼容原生Redis协议的Key-Value数据库。武汉达梦数据库股份有限公司达梦新云缓存数据库存在二进制漏洞,攻击者可利用该漏洞导致拒绝服务。
