上周关注度较高的产品安全漏洞(20241230-20250105)

文章预览

一、境外厂商产品漏洞 1、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2024-49627） SAP Commerce Cloud的Backoffice是一个用户中心的、可扩展的后端界面，它允许业务用户轻松管理SAP Commerce Cloud中的任何类型的数据。SAP NetWeaver Enterprise Portal存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。 参考链接： https://www.cnvd.org.cn/flaw/show/CNVD-2024-49627 2、Fortinet FortiOS访问控制错误漏洞（CNVD-2024-49648） Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。Fortinet FortiOS存在访问控制错误漏洞，该漏洞源于包含一个会话固定问题。攻击者可利用该漏洞通过网络钓鱼SAML身份 ………………………………