您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230206-20230212)
一、境外廠商產(chǎn)品漏洞
1、WordPress 15Zine跨站腳本漏洞
WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。Wordpress 15Zine 3.3.0之前版本存在跨站腳本漏洞,該漏洞源于產(chǎn)品未對cb_s_a請求中cbi參數(shù)數(shù)據(jù)中的特殊字符進(jìn)行有效處理。攻擊者可利用該漏洞導(dǎo)致反射的跨站點(diǎn)腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06538
2、WordPress PowerPack Lite for Beaver Builder plugin跨站腳本漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress PowerPack Lite for Beaver Builder插件1.2.9.3之前版本存在跨站腳本漏洞,該漏洞源于插件在輸出到管理頁面之前未能對標(biāo)簽參數(shù)進(jìn)行過濾和轉(zhuǎn)義,攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06541
3、WordPress plugin Custom Content Shortcode訪問控制錯誤漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是WordPress的一個應(yīng)用插件。WordPress plugin Custom Content Shortcode 4.0.2之前版本存在訪問控制錯誤漏洞,該漏洞源于插件未能驗證傳遞給其加載簡碼的數(shù)據(jù)。攻擊者可利用該漏洞允許Contributor+(v<4.0.1)或Admin+(v<4.0.2)用戶顯示文件系統(tǒng)中的任意文件(例如日志、.htaccess等),以及在執(zhí)行PHP文件時執(zhí)行本地文件包含攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06537
4、Google Android權(quán)限提升漏洞(CNVD-2023-07647)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞是由于NotificationChannel.java組件的NotificationChannel中的資源耗盡漏洞,攻擊者可利用該漏洞獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07647
5、Google Android權(quán)限提升漏洞(CNVD-2023-07675)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07675
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司車載監(jiān)控平臺存在命令執(zhí)行漏洞
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司車載監(jiān)控平臺存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06423
2、Foxit PDF Reader內(nèi)存錯誤引用漏洞(CNVD-2023-07828)
Foxit PDF Reader是中國福昕(Foxit)公司的一款PDF閱讀器。Foxit PDF Reader 12.0.1.12430版本存在內(nèi)存錯誤引用漏洞,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07828
3、Tenda AC23堆棧溢出漏洞
Tenda AC23是中國騰達(dá)(Tenda)公司的一款雙頻千兆無線路由器。Tenda AC23存在堆棧溢出漏洞,攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07906
4、Foxit PDF Reader deletePages遠(yuǎn)程代碼執(zhí)行漏洞
Foxit PDF Reader是中國福昕(Foxit)公司的一款PDF閱讀器。Foxit PDF Reader deletePages存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07865
5、Foxit PDF Reader Doc對象遠(yuǎn)程代碼執(zhí)行漏洞
Foxit PDF Reader是中國福昕(Foxit)公司的一款PDF閱讀器。Foxit PDF Reader Doc對象存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07866
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺