雲智維報報

                                               F5 產品存在繞過身份驗證和資料洩露及阻斷服務漏洞 一、 摘要            F5 產品存在漏洞，允許遠端使用者利用此漏洞，於目標系統觸發繞過身份驗證、資料洩露和阻斷服務狀況。

                                              SonicWall 產品存在繞過身份驗證及阻斷服務漏洞 一、 摘要            SonicWall SonicOS的管理訪問(management access)存在不當存取控制漏洞，其可能導致未經授權情況下存取資源，以及在特殊情況下造成阻斷服務。

                                                                                                                                                                                                  Microsoft Edge 存在多個漏洞 一、 摘要             Microsoft Edge 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、繞過身份驗證及敏感資料洩露。

                                                                                                                                                                                                 Google Chrome 存在多個漏洞 一、 摘要            Google Chrome 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、繞過身份驗證及敏感資料洩露。其中，CVE-2024-7971 正被廣泛利用，  該漏洞是由 Chrome V8 JavaScript 引擎中的漏洞引起，可以導致在目標裝置上遠端執行程式碼。

                                                                                                                                                                                                   NetApp 產品存在阻斷服務狀況漏洞 一、 摘要            NetApp 產品存在一個漏洞，允許遠端攻擊者利用這個漏洞，於目標系統觸發阻斷服務狀。

                                                                                                                                                                                                  F5 產品存在多個漏洞 一、 摘要            F5 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況及洩露敏感資料。

                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露、遠端執行任意程式碼及資料篡改。

                                                                                                                                                                                                 F5 BIG-IP 存在洩露敏感資料漏洞 一、 摘要            F5 BIG-IP 存在一個漏洞，允許遠端攻擊者利用這漏洞，於目標系統觸發洩露敏感資料。

                                                                                                                                                                                                IBM Java SDK 存在多個漏洞 一、 摘要            IBM Java SDK 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況及洩露敏感資料。

                                                                                                                                                                                               中興保全 Dr.ID 門禁管理系統存在SQL injection漏洞 一、 摘要            中興保全Dr.ID考勤管理系統未妥善驗證上傳檔案類型，其將允許已取得一般權限之遠端攻擊者上傳網頁後門程式至網頁目錄，並利用該後門程式於遠端伺服器執行任意程式碼。

                                                                                                                                                                                              中興保全 Dr.ID 門禁管理系統存在SQL injection漏洞 一、 摘要            中興保全Dr.ID門禁管理系統未妥善驗證特定頁面參數，其將允許未經身分鑑別之遠端攻擊者注入SQL指令讀取、修改及刪除資料庫內容。

                                                                                                                                                                                               鎧應科技 CMS存在Sensitive File Download和OS Command Injection漏洞 一、 摘要            鎧應科技 CMS特定CGI未妥善驗證使用者輸入以及 缺乏適當存取控制 ， CGI未妥善驗證使用者輸入可 允許已取得管理權限之遠端攻擊者於特定參數注入作業系統指令，進而於遠端伺服器上執行。而 缺乏適當存取控制則可 允許未經身分鑑別之遠端攻擊者下載任意CGI程式。

                                                                                                                                                                                              TeamT5杜浦數位安全 ThreatSonar Anti-Ransomware存在Arbitrary File Upload漏洞 一、 摘要            TeamT5杜浦數位安全 ThreatSonar Anti-Ransomware 產品之上傳檔案內容過濾未完善，導致已取得產品平台管理權限的遠端攻擊者可上傳惡意檔案，並透過該檔案於伺服器上執行任意系統指令。

                                                                                                                                                                                             村榮資訊雷電MAILD遠端管理系統存在Arbitrary File Reading和Path Traversal漏洞 一、 摘要            村榮資訊雷電MAILD遠端管理系統存在Relative Path Traversal漏洞，其將允許未經身分鑑別之遠端攻擊者讀取任意遠端伺服器之檔案。

                                                                                                                                                                                            人工智能 QbiBot 智能機器人存在Stored XSS漏洞 一、 摘要            人工智能的QbiBot智能機器人未妥善過濾使用者輸入，因此未經身分驗證之遠端攻擊者可於聊天室窗中插入JavaScript語法，訊息接收端查閱訊息後，便會受到Stored XSS攻擊。

                                                                                                                                                                                            鼎新電腦 EasyFlow .NET存在Arbitrary File Download漏洞 一、 摘要            鼎新電腦 EasyFlow .NET 之特定功能缺乏適當的存取控制，因此該特定功能也未能妥善過濾使用者輸入，當攻擊者取得一般權限，即可利用此漏洞下載任意系統檔案。

                                                                                                                                                                                           全景軟體 HWATAIServiSign Windows版本存在Stack-based Buffer Overflow漏洞 一、 摘要            全景軟體的HWATAIServiSign Windows版本之特定API功能未妥善驗證伺服器端輸入之資料長度，因此當使用者瀏覽偽造網站時，未經身分鑑別之遠端攻擊者可使HWATAIServiSign造成Stack-based Buffer Overflow，並暫時中斷該元件服務。

                                                                                                                                                                                          Ivanti Virtual Traffic Manager存在嚴重漏洞，將允許惡意管理者惡意存取 一、 摘要            Ivanti Virtual Traffic Manager存在漏洞，將允許攻擊者繞過驗證並建立管理員身份，這意味著攻擊者可以在建立管理者帳號後，任意對系統進行不當操控。

                                                                                                                                                                                         IBM WebSphere Liberty 存在多個漏洞 一、 摘要            IBM WebSphere Liberty 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況，洩露敏感資料及繞過身份驗證。

                                                                                                                                                                                         微軟每月安全更新 一、 摘要            微軟產品存在多個漏洞，其將允許攻擊者利用該漏洞，並導致 資料洩露、 權限提升、 繞過身份驗證、 仿冒、 阻斷服務、 遠端執行程式碼和 篡改， 微軟已於本月修補多個遭到駭客廣泛利用之漏洞。

                                                                                                                                                                                        GitLab 存在多個漏洞 一、 摘要            GitLab 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發權限提升、繞過身份驗證、跨網站指令碼、阻斷服務及資料洩露。

                                                                                                                                                                                        Microsoft Windows 存在多個漏洞 一、 摘要            Microsoft Windows 存在多個漏洞，允許攻擊者利用這些漏洞，於目標系統觸發權限提升、洩露敏感資料及資料篡改。CVE-2024-21302漏洞可允許取得管理員權限的攻擊者用 用過時的版本取代目前的Windows系統檔案，而 CVE-2024-38202漏洞則是允許攻擊者欺騙或說服管理員或具有委派權限的使用者執行系統還原，從而無意中觸發權限提升。

                                                                                                                                                                                       Mozilla 產品存在多個漏洞 一、 摘要            Mozilla 產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發跨網站指令碼、阻斷服務狀況、遠端執行任意程式碼、洩露敏感資料、繞過身份驗證、仿冒及資料篡改。

                                                                                                                                                                                        Google Chrome 存在多個漏洞 一、 摘要            Google Chrome 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼及敏感資料洩露。

                                                                                                                                                                                         SUSE Linux 內核存在多個漏洞 一、 摘要            SUSE Linux 內核存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料、資料篡改及繞過身份驗證。

                                                                                                                                                                                        Android 存在多個漏洞 一、 摘要            Android 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼、權限提升及洩露敏感資料。其中，CVE-2024-36971 漏洞正被利用，該漏洞允許具有系統執行權限的攻擊者在內核進行遠端執行任意程式碼。

                                                                                                                                                                                       三星產品存在多個漏洞 一、 摘要            於三星產品存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料及繞過身份驗證。

                                                                                                                                                                                       F5 BIG-IP 存在繞過身份驗證漏洞 一、 摘要            F5 BIG-IP 存在漏洞，允許遠端攻擊者利用這漏洞，於目標系統觸發繞過身份驗證。

                                                                                                                                                                                      Microsoft Edge 存在多個漏洞 一、 摘要            Microsoft Edge 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發敏感資料洩露，遠端執行任意程式碼及繞過身份驗證。

                                                                                                                                                                                     RedHat Linux 核心存在多個漏洞 一、 摘要            RedHat Linux核心存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況、權限提升、遠端執行任意程式碼、洩露敏感資料及繞過身份驗證。

                                                                                                                                                                                    IBM MQ 存在多個漏洞 一、 摘要            IBM MQ 存在多個漏洞，允許遠端攻擊者利用這些漏洞，於目標系統觸發阻斷服務狀況及繞過身份驗證。

                                                                                                                                                                                   Ubuntu Linux 核心存在多個漏洞 一、 摘要            Ubuntu Linux核心存在多個漏洞，允許遠端攻擊者可利用這些漏洞，於目標系統觸發阻斷服務狀況、遠端執行任意程式碼及洩露敏感資料。