您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
20230327-20230402)
一、境外廠商產(chǎn)品漏洞
1、LS ELECTRIC XBC-DN32U拒絕服務漏洞
LS ELECTRIC XBC-DN32U是韓國LS ELECTRIC公司的一款PLC可編程邏輯控制器。LS ELECTRIC XBC-DN32U存在拒絕服務漏洞,該漏洞源于訪問在通信緩沖區(qū)之外的內(nèi)存位置時設備將停止運行,攻擊者可利用該漏洞造成拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21683
2、IBM Financial Transaction Manager目錄遍歷漏洞(CNVD-2023-20086)
IBM Financial Transaction Manager是美國國際商業(yè)機器(IBM)公司的一款金融事務管理器。IBM Financial Transaction Manager存在目錄遍歷安全漏洞,遠程攻擊者可以利用該漏洞提交特殊的請求,在應用程序上下文查看系統(tǒng)文件內(nèi)容,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-20086
3、Google Android越界寫入漏洞(CNVD-2023-21685)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在越界寫入漏洞,攻擊者可利用該漏洞導致需要系統(tǒng)執(zhí)行特權(quán)的本地信息公開。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21685
4、IBM WebSphere Application Server輸入驗證錯誤漏洞(CNVD-2023-20087)
IBM WebSphere Application Server(WAS)是美國國際商業(yè)機器(IBM)公司的一款應用服務器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務應用程序的平臺,也是IBMWebSphere軟件平臺的基礎。IBM WebSphere Application Server HTTP Server 8.5版本存在輸入驗證錯誤漏洞,該漏洞源于未對輸入的錯誤消息做正確的處理,遠程攻擊者可利用該漏洞通過使用特制URL導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-20087
5、LS ELECTRIC XBC-DN32U訪問控制錯誤漏洞(CNVD-2023-21680)
LS ELECTRIC XBC-DN32U是韓國LS ELECTRIC公司的一款 PLC 可編程邏輯控制器。LS ELECTRIC XBC-DN32U 01.80版本存在訪問控制錯誤漏洞,該漏洞源于缺少對PLC執(zhí)行關(guān)鍵功能的身份驗證,攻擊者可利用該漏洞任意更改PLC的模式。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21680
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AX3緩沖區(qū)溢出漏洞(CNVD-2023-21669)
Tenda Ax3是中國騰達(Tenda)公司的一款Ax1800千兆端口雙頻Wifi 6無線路由器。Tenda AX3 V16.03.12.11存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/WifiGuestSet中的shareSpeed參數(shù)未能正確驗證用戶輸入,攻擊者可利用該漏洞導致遠程代碼執(zhí)行或者拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21669
2、D-Link DWL-2600AP命令注入漏洞
D-Link DWL-2600AP是中國友訊(D-Link)公司的一款無線接入點設備。D-Link DWL-2600AP存在命令注入漏洞,攻擊者可利用該漏洞以root身份執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21664
3、TOTOLINK A950RG存在命令執(zhí)行漏洞
TOTOLINK A950RG是一款無線路由器。TOTOLINK A950RG存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19487
4、北京亞控科技發(fā)展有限公司KingPortal開發(fā)系統(tǒng)存在未授權(quán)訪問漏洞
北京亞控科技發(fā)展有限公司是一家自動化軟件平臺高科技企業(yè)。北京亞控科技發(fā)展有限公司KingPortal開發(fā)系統(tǒng)存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18227
5、D-Link DIR-2150操作系統(tǒng)命令注入漏洞
D-Link DIR-2150是D-Link公司的一個無線路由器設備。D-Link DIR-2150存在操作系統(tǒng)命令注入漏洞,攻擊者可利用該漏洞在路由器上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21661
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺