您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20230313-20230319)
一、境外廠商產品漏洞
1、Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-17042)
Siretta QUARTZ-GOLD是Siretta公司的一款高速工業(yè)路由器。Siretta QUARTZ-GOLD G5.0.1.5-210720-141020版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17042
2、Adobe Photoshop越界讀取漏洞(CNVD-2023-17045)
Adobe Photoshop是美國奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Photoshop存在越界讀取漏洞,該漏洞源于對用戶提供的數(shù)據(jù)缺乏適當?shù)尿炞C,特制數(shù)據(jù)可能會觸發(fā)超過分配緩沖區(qū)末尾的讀取。攻擊者可利用該漏洞敏感內存泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17045
3、Siemens RUGGEDCOM CROSSBOW訪問控制錯誤漏洞(CNVD-2023-17662)
RUGGEDCOM CROSSBOW是一個安全的訪問管理解決方案,旨在為智能電子設備提供符合NERC CIP的訪問。Siemens RUGGEDCOM CROSSBOW存在訪問控制錯誤漏洞,該漏洞源于受影響應用程序的客戶端查詢處理程序在將組分配給用戶帳戶時未能檢查適當?shù)臋嘞?,攻擊者可利用該漏洞將管理組分配給其他無特權的用戶帳戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17662
4、Google Chrome DevTools資源管理錯誤漏洞(CNVD-2023-17525)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 111.0.5563.64之前版本存在安全漏洞,該漏洞源于DevTools組件負責釋放內存的指令發(fā)生混亂。遠程攻擊者可利用該漏洞通過精心設計的HTML頁面導致堆損壞。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17525
5、Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-17070)
Siretta QUARTZ-GOLD是一款具有多種功能和服務的工業(yè)路由器。Siretta QUARTZ-GOLD存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過發(fā)送特制的網絡數(shù)據(jù)包導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17070
二、境內廠商產品漏洞
1、易居房產系統(tǒng)后臺管理存在邏輯缺陷漏洞
海南易而優(yōu)科技有限公司是一家經營范圍包括:互聯(lián)網數(shù)據(jù)服務,網絡與信息安全軟件開發(fā),軟件和信息技術服務業(yè),軟件開發(fā),信息技術咨詢服務,信息處理和存儲支持服務,應用軟件開發(fā)等的公司。易居房產系統(tǒng)后臺管理存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05214
2、Advantech iView SQL注入漏洞(CNVD-2023-16473)
Advantech Iview是中國Advantech公司的一個基于簡單網絡協(xié)議(SNMP)來對B + B SmartWorx設備進行管理的軟件。Advantech iView存在SQL注入漏洞,該漏洞源于SQL命令中使用的特殊元素的不當中和。未經授權的攻擊者可利用該漏洞泄露信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-16473
3、D-Link DIR-605L緩沖區(qū)溢出漏洞(CNVD-2023-17669)
D-Link DIR-605L是中國D-Link公司的一款無線路由器。D-Link DIR-605L存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導致遠程代碼執(zhí)行或服務中斷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17669
4、TP-Link Archer AX21 AX1800命令注入漏洞
TP-Link Archer AX21 AX1800是一款TP-Link的WIFI6路由器。TP-Link Archer AX21 AX1800存在命令注入漏洞,該漏洞源于未對用戶輸入進行過濾,攻擊者可利用該漏洞構造惡意請求從而執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17902
5、D-Link DIR-605L緩沖區(qū)溢出漏洞(CNVD-2023-17668)
D-Link DIR-605L是中國D-Link公司的一款無線路由器。D-Link DIR-605L存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導致遠程代碼執(zhí)行或服務中斷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17668
說明:關注度分析由CNVD根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺