(20241111-20241117)

一、境外廠商產(chǎn)品漏洞

1、Google Pixel越界讀取漏洞

Google Pixel是美國(guó)谷歌（Google）公司的一款智能手機(jī)。Google Pixel存在越界讀取漏洞，該漏洞源于缺少邊界檢查，攻擊者可利用該漏洞越界讀取本地信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44476

2、Google Chrome釋放后重用漏洞（CNVD-2024-44478）

Google Chrome是美國(guó)谷歌（Google）公司的一款Web瀏覽器。Google Chrome 130.0.6723.92之前版本存在釋放后重用漏洞，攻擊者可利用該漏洞通過(guò)精心制作的HTML頁(yè)面潛在地利用堆損壞。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44478

3、Google Chrome越界寫入漏洞（CNVD-2024-44477）

Google Chrome是美國(guó)谷歌（Google）公司的一款Web瀏覽器。Google Chrome 130.0.6723.92之前版本存在越界寫入漏洞，攻擊者可利用該漏洞通過(guò)精心制作的HTML頁(yè)面執(zhí)行越界內(nèi)存訪問(wèn)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44477

4、Microsoft DeepSpeed遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft DeepSpeed是美國(guó)微軟（Microsoft）公司的一款易于使用的深度學(xué)習(xí)優(yōu)化軟件套件，可為DL訓(xùn)練和推理提供前所未有的規(guī)模和速度。Microsoft DeepSpeed存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44524

5、Mozilla Firefox資源關(guān)閉或釋放不當(dāng)漏洞

Mozilla Firefox是一款開(kāi)源Web瀏覽器。Mozilla Firefox ESR是Firefox（Web瀏覽器）的一個(gè)延長(zhǎng)支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨(dú)立出來(lái)的電子郵件客戶端軟件。Mozilla Firefox存在資源關(guān)閉或釋放不當(dāng)漏洞，攻擊者可利用該漏洞在配置為啟動(dòng)特制的WebTransport會(huì)話的網(wǎng)站導(dǎo)致Firefox進(jìn)程崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44472

二、境內(nèi)廠商產(chǎn)品漏洞

1、Tenda i22代碼問(wèn)題漏洞

Tenda i22是中國(guó)騰達(dá)（Tenda）公司的一款無(wú)線接入點(diǎn)。Tenda i22存在代碼問(wèn)題漏洞，該漏洞源于對(duì)參數(shù)Content-Length的處理不當(dāng)，導(dǎo)致空指針取消引用。攻擊者可以利用該漏洞上傳任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44859

2、TOTOLINK X18命令注入漏洞

TOTOLINK X18是中國(guó)吉翁電子（TOTOLINK）公司的一個(gè)網(wǎng)狀路由器系統(tǒng)。TOTOLINK X18 9.1.0cu.2024_B20220329版本存在命令注入漏洞，該漏洞源于/cgi-bin/cstecgi.cgi頁(yè)面中的enable參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44851

3、D-Link DI-8003命令注入漏洞

D-Link DI-8003是中國(guó)友訊（D-Link）公司的一款無(wú)線路由器。D-Link DI-8003 16.07.16A1版本存在命令注入漏洞，該漏洞源于文件/upgrade_filter.asp的參數(shù)path未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44852

4、D-Link DI-8003 dbsrv.asp文件緩沖區(qū)溢出漏洞

D-Link DI-8003是中國(guó)友訊（D-Link）公司的一款無(wú)線路由器。D-Link DI-8003 16.07.16A1版本存在緩沖區(qū)溢出漏洞，該漏洞源于文件/dbsrv.asp的參數(shù)str未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小，遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44818

5、Tenda AC6命令注入漏洞（CNVD-2024-44861）

Tenda AC6是中國(guó)騰達(dá)（Tenda）公司的一款無(wú)線路由器。Tenda AC6 15.03.05.19版本存在命令注入漏洞，該漏洞源于參數(shù)The未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2024-44861

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

文章來(lái)源：CNVD漏洞平臺(tái)