上周关注度较高的产品安全漏洞(20250113-20250119)

1、IBM Security Directory Integrator操作系统命令注入漏洞

IBM Security Directory Integrator是美国国际商业机器（IBM）公司的一个集成开发环境和运行时服务。IBM Security Directory Integrator存在操作系统命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00969

2、Rockwell Automation FactoryTalk Transaction Manager拒绝服务漏洞

Rockwell Automation FactoryTalk Transaction Manager是美国罗克韦尔（Rockwell Automation）公司的一个用于保存数据库数据的控制系统。Rockwell Automation FactoryTalk Transaction Manager处理400端口访问存在安全漏洞，远程攻击者可以利用该漏洞提交特殊的请求，可消耗大量cpu和内存资源，造成拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00984

3、IBM Workload Scheduler信息泄露漏洞

IBM Workload Scheduler是美国国际商业机器（IBM）公司的一套企业任务调度软件。该软件能够自动化控制工作负载。IBM Workload Scheduler 9.5、10.1和10.2版本存在信息泄露漏洞，该漏洞源于以纯文本形式存储用户凭证，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00971

4、Adobe Experience Manager跨站脚本漏洞（CNVD-2025-01181）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞，攻击者可利用该漏洞在受害者的浏览器会话中执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01181

5、Microsoft Windows Remote Desktop Services远程代码执行漏洞

Microsoft Windows Remote Desktop Services是美国微软（Microsoft）公司的一个允许用户远程访问图形桌面和Windows应用程序的功能集合。Microsoft Windows Remote Desktop Services存在远程代码执行漏洞，该漏洞是由远程桌面服务组件中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-01184

二、 境内厂商产品漏洞

1、浙江大华技术股份有限公司智能物联综合管理平台存在命令执行漏洞

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智能物联综合管理平台存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00420

2、Tenda AC8 sscanf函数缓冲区溢出漏洞

Tenda AC8是中国腾达（Tenda）公司的一款无线路由器。Tenda AC8V4 V16.03.34.06版本存在缓冲区溢出漏洞，该漏洞源于函数sscanf中的参数time未能正确验证输入数据的长度大小，远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2025-00982

3、Foxit PDF Editor缓冲区溢出漏洞（CNVD-2025-00958）