您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230605-20230611)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Windows DNS遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-44300)
Microsoft Windows DNS是美國微軟(Microsoft)公司的一個(gè)域名解析服務(wù)。域名系統(tǒng)(DNS)是包含TCP/IP的行業(yè)標(biāo)準(zhǔn)協(xié)議套件之一,并且DNS客戶端和DNS服務(wù)器共同為計(jì)算機(jī)和用戶提供計(jì)算機(jī)名稱到IP地址的映射名稱解析服務(wù)。Microsoft Windows DNS存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-44300
2、Google Chrome緩沖區(qū)溢出漏洞(CNVD-2023-43886)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 112.0.5615.137之前版本中的SQLite存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-43886
3、Adobe Substance 3D Stager越界讀取漏洞
Adobe Substance 3D Stager是美國奧多比(Adobe)公司的一個(gè)虛擬3D工作室。Adobe Substance 3D Stager存在越界讀取漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-43890
4、Google Chrome緩沖區(qū)溢出漏洞(CNVD-2023-43887)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Skia是其中的一個(gè)開放源碼的2D圖形庫,能夠提供可在各種硬件和軟件平臺(tái)上工作的常見API。Google Chrome 112.0.5615.137之前版本中的Skia存在緩沖區(qū)溢出漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼或造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-43887
5、Microsoft Windows DNS遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-44299)
Microsoft Windows DNS是美國微軟(Microsoft)公司的一個(gè)域名解析服務(wù)。域名系統(tǒng)(DNS)是包含TCP/IP的行業(yè)標(biāo)準(zhǔn)協(xié)議套件之一,并且DNS客戶端和DNS服務(wù)器共同為計(jì)算機(jī)和用戶提供計(jì)算機(jī)名稱到IP地址的映射名稱解析服務(wù)。Microsoft Windows DNS存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-44299
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC23命令注入漏洞
Tenda AC23是中國騰達(dá)(Tenda)公司的一款雙頻千兆無線路由器。Tenda AC23存在命令注入漏洞,該漏洞源于文件/bin/ate的參數(shù)v2未能正確過濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-45447
2、TEMMOKUMVC存在SQL注入漏洞
TEMMOKUMVC是邳州天目網(wǎng)絡(luò)科技有限公司開發(fā)的一款專業(yè)的PHP+MYSQL產(chǎn)品,采用自主MVC構(gòu)架,適用大型及中小型企業(yè)的開源MVC。TEMMOKUMVC存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-22745
3、達(dá)夢(mèng)數(shù)據(jù)庫管理系統(tǒng)(DM7)麒麟版存在命令執(zhí)行漏洞
武漢達(dá)夢(mèng)數(shù)據(jù)庫股份有限公司是一家數(shù)據(jù)庫產(chǎn)品開發(fā)服務(wù)商。達(dá)夢(mèng)數(shù)據(jù)庫管理系統(tǒng)(DM7)麒麟版存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14276
4、Nacos Jraft Hessian反序列漏洞
Nacos是Dynamic Naming and Configuration Service的首字母簡(jiǎn)稱,一個(gè)更易于構(gòu)建云原生應(yīng)用的動(dòng)態(tài)服務(wù)發(fā)現(xiàn),配置管理和服務(wù)管理平臺(tái)。Nacos Jraft Hessian存在反序列漏洞,攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-45001
5、Tenda AC8緩沖區(qū)溢出漏洞
Tenda AC8是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC8存在緩沖區(qū)溢出漏洞,該漏洞源于參數(shù)firewallEn在處理未受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤,攻擊者可利用該漏洞在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-45446
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)