上周关注度较高的产品安全漏洞(20240610-20240616)

一、境外厂商产品漏洞

1、Siemens TIM 1531 IRC无限循环漏洞

TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模块。Siemens TIM 1531 IRC存在无限循环漏洞，经过身份验证的远程攻击者可利用该漏洞通过导入特制的PKCS12容器来创建拒绝服务条件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26693

2、Apache Airflow信息泄露漏洞（CNVD-2024-26530）

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow 2.8.2之前版本存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26530

3、Siemens S7-200 SMART series使用不安全的随机值漏洞

S7-200 SMART series是一系列微型可编程逻辑控制器，可以控制各种小型自动化应用。Siemens S7-200 SMART series存在使用不安全的随机值漏洞，攻击者可利用该漏洞创建拒绝服务条件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26691

4、WordPress Discussion Board plugin跨站脚本漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress plugin Discussion Board 2.4.8版本及之前版本存在跨站脚本漏洞，该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26513

5、Siemens TIM 1531 IRC数字类型错误转换漏洞

TIM 1531 IRC是SIMATIC S7-1500, S7-400, S7-300的通信模块。Siemens TIM 1531 IRC存在数字类型错误转换漏洞，攻击者可利用该漏洞在受影响的设备上造成拒绝服务条件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-26692

二、境内厂商产品漏洞

1、小米科技有限责任公司小米路由器AX9000存在二进制漏洞

小米路由器AX9000是小米公司于2021年3月29日发布的第三代Wi-Fi6旗舰产品—，支持WiFi6增强版，最大理论速率可达3.5Gbps。小米科技有限责任公司小米路由器AX9000存在二进制漏洞，攻击者可利用漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23093

2、厦门快普信息技术有限公司快普M6整合管理平台系统存在SQL注入漏洞（CNVD-2024-27112）

厦门快普信息技术有限公司是一家致力于信息化整合管理系统研发的创新型高科技企业。厦门快普信息技术有限公司快普M6整合管理平台系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息，执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-27112

3、北京亿赛通科技发展有限责任公司电子文档安全管理系统（CDG）存在SQL注入漏洞（CNVD-C-2024-271249）

亿赛通文档安全管理系统是国内最早基于文件过滤驱动技术的文档加解密产品，保护范围涵盖终端电脑（Windows、Mac、Linux系统平台）、智能终端（Android、IOS）及各类应用系统（OA、知识管理、文档管理、项目管理、PDM等）。北京亿赛通科技发展有限责任公司电子文档安全管理系统（CDG）存在SQL注入漏洞，攻击者可利用漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23002

4、用友网络科技股份有限公司用友NC存在命令执行漏洞

用友NC是一款大型erp企业管理系统与电子商务平台。用友网络科技股份有限公司用友NC存在命令执行漏洞，攻击者可利用漏洞执行命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23099

5、厦门天锐科技股份有限公司天锐绿盾审批系统存在信息泄露漏洞（CNVD-2024-25622）

厦门天锐科技股份有限公司是数据安全产品与服务提供商。厦门天锐科技股份有限公司天锐绿盾审批系统存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25622

海量资讯、精准解读，尽在新浪财经APP