上周关注度较高的产品安全漏洞(20240624-20240630)

一、境外厂商产品漏洞

1、Adobe Commerce跨站脚本漏洞（CNVD-2024-28955）

Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。Adobe Commerce存在跨站脚本漏洞，攻击者可利用该漏洞将恶意脚本注入易受攻击的表单字段，在浏览器中执行恶意JavaScript。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-28955

2、Mozilla Firefox欺骗漏洞（CNVD-2024-29137）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 127之前版本存在欺骗漏洞，攻击者可利用该漏洞欺骗位置URL栏。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29137

3、Mozilla Firefox安全绕过漏洞（CNVD-2024-29334）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在安全绕过漏洞，攻击者可利用该漏洞在保存过程中绕过文件名限制。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29334

4、Adobe Experience Manager跨站脚本漏洞（CNVD-2024-28710）

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager 6.5.20版本及之前存在安全漏洞，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-28710

5、Schneider Electric SpaceLogic AS-P/AS-B日志信息泄露漏洞

Schneider Electric SpaceLogic AS-P是法国施耐德电气（Schneider Electric）公司的一个自动化服务器。Schneider Electric SpaceLogic AS-P/AS-B存在日志信息泄露漏洞，攻击者可利用该漏洞导致SNMP凭据暴露。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-29562

二、境内厂商产品漏洞

1、深圳市联软科技股份有限公司联软安全数据交换系统存在任意文件读取漏洞

深圳市联软科技股份有限公司是一家专注于企业级网络安全市场，主营业务是为政企客户提供网络安全产品和服务的公司。深圳市联软科技股份有限公司联软安全数据交换系统存在任意文件读取漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25489

2、北京星网锐捷网络技术有限公司EG3220存在命令执行漏洞

北京星网锐捷网络技术有限公司EG3220是新一代多业务安全网关。北京星网锐捷网络技术有限公司EG3220存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25666

3、广联达科技股份有限公司Linkworks协同办公管理平台存在XML实体注入漏洞

Linkworks协同办公管理平台是广联达公司开发的一种BIM协同平台。广联达科技股份有限公司Linkworks协同办公管理平台存在XML实体注入漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-25706

4、浙江大华技术股份有限公司Digital Surveillance System存在文件上传漏洞

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司Digital Surveillance System存在文件上传漏洞，攻击者可利用漏洞上传恶意文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23777

5、北京亚控科技发展有限公司KingH5Stream存在逻辑缺陷漏洞（CNVD-2024-23408）

北京亚控科技发展有限公司是一家成立于1997年的工业自动化和信息化软件平台高科技企业，总部位于中国北京，专注于国产工业软件自主研发、营销和服务。北京亚控科技发展有限公司KingH5Stream存在逻辑缺陷漏洞，攻击者可以利用该漏洞获取敏感信息，创建或删除用户等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-23408

海量资讯、精准解读，尽在新浪财经APP