漏洞风险提示(20250120)
1 Tenda FH1201堆栈缓冲区溢出漏洞(CVE-2024-42942)一、漏洞描述:
Tenda FH1201是中国腾达(Tenda)公司的一款无线路由器。Tenda FH1201 1.2.0.14版本存在由frmL7ImForm函数中的page参数引发的堆栈缓冲区溢出漏洞,攻击者可以利用该漏洞通过特制的的POST请求导致拒绝服务。
二、风险等级:
高
三、影响范围:
Tenda FH1201 1.2.0.14
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tendacn.com/download/detail-3322.html
2 D-Link多款产品缓冲区溢出漏洞(CVE-2024-7830)
一、漏洞描述:
D-Link DNS-320等都是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link多款产品存在缓冲区溢出漏 洞,远程攻击者可以利用该漏洞通过操纵参数photo_name影响文件/cgi-bin/photocenter_mgr.cgi中的cgi_move_photo函数,从而导致缓冲区溢出。
二、风险等级:
高
三、影响范围:
D-Link DNS-320
D-Link DNS-120
D-Link DNR-202L
D-Link DNS-315L
D-Link DNS-320L
D-Link DNS-320LW
D-Link DNS-321
D-Link DNR-322L
D-Link DNS-323
D-Link DNS-325
D-Link DNS-326
D-Link DNS-327L
D-Link DNR-326
D-Link DNS-340L
D-Link DNS-343
D-Link DNS-345
D-Link DNS-726-4
D-Link DNS-1100-4
D-Link DNS-1200-05
D-Link DNS-1550-04
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
3 Huizhi Enterprise Resource Management System任意文件上传漏洞(CVE-2024-42676)
一、漏洞描述:
Huizhi enterprise resource management system是中国深圳汇智软件开发有限公司的一个企业资源规划(ERP)系统 。Huizhi enterprise resource management system 1.0及之前版本存在任意文件上传漏洞,远程攻击者可以利用该漏洞通过/nssys/common/Upload.aspx?Action=DNPageAjaxPostBack组件执行任意代码。
二、风险等级:
高
三、影响范围:
Huizhi enterprise Resource Management System <= 1.0
四、修复建议:
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
http://www.hzpos.net/cn/service/jishuzhichi/
4 Kingsoft WPS Office路径遍历漏洞(CVE-2024-7263)
一、漏洞描述:
Kingsoft WPS Office是中国金山软件(Kingsoft)公司的一种办公软件,提供文件处理功能。Kingsoft WPS Office 12.2.0.13110至12.2.0.17115版本存在路径遍历漏洞,该漏洞源于软件中promecefpluginhost.exe路径验证不当,攻击者可以利用该漏洞 加载任意Windows库。
二、风险等级:
高
三、影响范围:
Kingsoft Kingsoft WPS Office >= 12.2.0.13110 < 12.2.0.17115
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.wps.com/zh-hant/whatsnew/pc/20240422/
页:
[1]