关键漏洞信息 漏洞概述 公告编号: SSA-382999 发布日期: 2025-06-12 当前版本: V1.0 CVSS v3.1 基本评分: 7.2 CVSS v4.0 基本评分: 7.5 受影响产品 产品: Opcenter Quality 受影响版本: 在 V2506 之前的所有版本 漏洞描述 1. CVE-2024-41879 - 问题: 应用程序在某些功能级别上不强制执行细粒度授权,允许经过身份验证的攻击者获得对应用程序的完全访问权限。 - CVSS 评分: v3.1: 7.1, v4.0: 8.0 - CWE: CWE-863: Incorrect Authorization 2. CVE-2024-41980 - 问题: 应用程序在 LDAP 接口通信中未加密,允许未经身份验证的攻击者获取敏感信息。 - CVSS 评分: v3.1: 5.3, v4.0: 6.0 - CWE: CWE-311: Missing Encryption of Sensitive Data 3. CVE-2024-41882 - 问题: 应用程序没有对敏感信息进行充分加密,允许经过身份验证的攻击者获取敏感信息。 - CVSS 评分: v3.1: 4.8, v4.0: 5.6 - CWE: CWE-311: Missing Encryption of Sensitive Data 4. CVE-2024-41884 - 问题: 应用程序在生成错误消息时显示 SQL 语句,导致敏感信息泄露。 - CVSS 评分: v3.1: 3.5, v4.0: 4.0 - CWE: CWE-209: Generation of Error Message Containing Sensitive Information 5. CVE-2024-41886 - 问题: 应用程序不当处理写入访问和不可逆操作,导致系统应用程序暴露。 - CVSS 评分: v3.1: 2.6, v4.0: 2.1 - CWE: CWE-209: Generation of Error Message Containing Sensitive Information 6. CVE-2024-41888 - 问题: 应用程序在会话超时后不注销会话,允许攻击者在会话闲置时获得未经授权的访问。 - CVSS 评分: v3.1: 2.6, v4.0: 2.1 - CWE: CWE-613: Insufficient Session Expiration 7. CVE-2024-41986 - 问题: 应用程序支持不安全的 TLS 1.0 和 1.1 协议,攻击者可能利用中间人攻击破坏数据的机密性和完整性。 - CVSS 评分: v3.1: 8.4, v4.0: 6.1 - CWE: CWE-327: Use of a Broken or Risky Cryptographic Algorithm