2024年3月11日-3月17日网络产品安全漏洞报告

漏洞安全告警

1、IBM产品安全漏洞

IBM CICS TX Advanced是美国国际商业机器（IBM）公司的一个事务处理监控系统，用于在企业环境中运行大规模、高事务量的应用程序。IBM Security Verify Privilege是美国国际商业机器（IBM）公司的一个解决方案，用于管理和保护用户的身份和权限。IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Sterling Connect:Express for UNIX是美国国际商业机器（IBM）公司的一套适用于UNIX平台的文件传输解决方案。IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM Cognos Analytics是美国国际商业机器（IBM）公司的一套商业智能软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入精心设计的有效载荷执行任意Web脚本或HTML，通过浏览器UI造成拒绝服务等。

CNVD收录的相关漏洞包括：IBM CICS TX Advanced跨站脚本漏洞（CNVD-2024-12700）、IBM Security Verify Privilege On-Premises信息泄露漏洞、IBM CICS TX Advanced信息泄露漏洞、IBM Security Guardium XML外部实体注入漏洞（CNVD-2024-12704）、IBM Sterling Connect:Express for UNIX缓冲区溢出漏洞、IBM InfoSphere Information Server跨站脚本漏洞（CNVD-2024-12706）、IBM Cognos Analytics访问控制错误漏洞（CNVD-2024-12708）、IBM Cognos Analytics Web UI跨站脚本漏洞（CNVD-2024-13549）。其中，“IBM Sterling Connect:Express for UNIX缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12700

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12702

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12701

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12704

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12703

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12706

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12708

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13549

2、Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Acrobat Reader DC是一款免费的PDF阅读软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在受害者浏览器中执行恶意JavaScript内容，执行非授权指令，可以取得系统特权，进而进行各种非法操作，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2024-12461）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-12465、CNVD-2024-12464、CNVD-2024-12463）、Adobe InDesign缓冲区溢出漏洞（CNVD-2024-12469）、Adobe Illustrator资源管理错误漏洞（CNVD-2024-12467）、Adobe Acrobat Reader DC缓冲区溢出漏洞（CNVD-2024-12466）。其中，除“Adobe Experience Manager跨站脚本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2024-12461）、Adobe InDesign缓冲区溢出漏洞（CNVD-2024-12469）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12462

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12461

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12465

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12464

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12463

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12469

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12467

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12466

3、Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致浏览器崩溃，无意中授予不打算授予的权限，使用未知的攻击向量在易受攻击的系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括：Mozilla Firefox拒绝服务漏洞（CNVD-2024-12547）、Mozilla Firefox代码执行漏洞（CNVD-2024-12546、CNVD-2024-12550）、Mozilla Firefox安全绕过漏洞（CNVD-2024-12549、CNVD-2024-12548）、Mozilla Firefox HTTP头注入漏洞、Mozilla Firefox越界读取漏洞（CNVD-2024-12552）、Mozilla Firefox for iOS跨站脚本漏洞。其中，除“Mozilla Firefox for iOS跨站脚本漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12547

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12546

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12549

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12548

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12551

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12550

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12552

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12555

4、Fortinet产品安全漏洞

Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护，可以保护员工免受网络攻击。Fortinet FortiPAM是美国飞塔（Fortinet）公司的一款权限访问控制的平台。Fortinet FortiNAC是美国飞塔（Fortinet）公司的一套网络访问控制解决方案。该产品主要用于网络访问控制和物联网安全防护。Fortinet FortiSIEM是美国飞塔（Fortinet）公司的一套安全信息和事件管理系统。该系统包括资产发现、工作流程自动化和统一管理等功能。Fortinet FortiClientEMS是美国飞塔（Fortinet）公司的Fortinet提供的端点管理解决方案的一部分，旨在帮助组织有效地管理其网络中的终端设备，并提供端点安全性的监控和控制。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃取受害者基于cookie的身份验证凭据，在系统上执行任意代码或命令等。

CNVD收录的相关漏洞包括：多款Fortinet产品格式化字符串错误漏洞、Fortinet FortiOS和FortiProxy空指针解引用漏洞（CNVD-2024-13019、CNVD-2024-13092）、Fortinet FortiNAC跨站脚本漏洞（CNVD-2024-13094）、Fortinet FortiOS和FortiProxy越界写入漏洞、Fortinet FortiSIEM操作系统命令注入漏洞（CNVD-2024-13099、CNVD-2024-13100）、Fortinet FortiClientEMS CSV注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13010

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13019

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13092

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13094

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13097

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13099

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13100

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13532

5、PHPEMS反序列化漏洞（CNVD-2024-13536）

PHPEMS是一个PHP在线模拟考试系统。本周，PHPEMS被披露存在反序列化漏洞。攻击者可利用该漏洞通过参数picurl导致反序列化。目前，厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页，以获取最新版本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-13536

漏洞攻击验证情况

1、XunRuiCMS跨站脚本漏洞（CNVD-2024-12713）

验证描述

XunRuiCMS（迅睿CMS）是一套开源的内容管理系统（CMS）。

XunRuiCMS v4.6.2及之前版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，远程攻击者可利用该漏洞通过向发送特制的恶意请求来获取敏感信息。

验证信息

POC链接：

https://www.cnblogs.com/rxtycc/p/17948379

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2024-12713

(来源："网信温州”)

(链接：https://mp.weixin.qq.com/s/f_xuBB4DY-du5IQL3qLqRg）