您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230612-20230618)
一、境外廠商產(chǎn)品漏洞
1、Google Chrome類型混肴漏洞
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome 114.0.5735.110之前版本存在類型混肴漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或?qū)е聭?yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-46107
2、Siemens Mendix SAML身份驗(yàn)證繞過(guò)漏洞
Mendix SAML module允許您在云應(yīng)用程序中使用SAML對(duì)用戶進(jìn)行身份驗(yàn)證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供程序通信。Siemens Mendix SAML存在身份驗(yàn)證繞過(guò)漏洞,攻擊者可利用該漏洞繞過(guò)身份驗(yàn)證并訪問(wèn)應(yīng)用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48547
3、Siemens SIMATIC STEP 7 V5遠(yuǎn)程代碼執(zhí)行漏洞
SIMATIC PCS 7是一個(gè)集散控制系統(tǒng)(DCS),集成了SIMATIC WinCC、SIMATIC Batch、SIMATIC Route control、OpenPCS 7等組件。SIMATIC S7-PM是SIMATIC STEP 7 V5.7的一個(gè)選項(xiàng)包,它提供了在項(xiàng)目范圍內(nèi)分配消息號(hào)的可能性。SIMATIC STEP 7 V5是SIMATIC S7-300/S7-400/C7/WinAC控制器配置和編程的經(jīng)典工程軟件。Siemens SIMATIC STEP 7 V5存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在數(shù)據(jù)庫(kù)管理系統(tǒng)的服務(wù)器中以提升的特權(quán)運(yùn)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48548
4、Linux kernel資源管理錯(cuò)誤漏洞(CNVD-2023-48540)
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在資源管理錯(cuò)誤漏洞,該漏洞源于在并發(fā)iptables規(guī)則替換期間每個(gè)CPU序列計(jì)數(shù)被錯(cuò)誤處理,導(dǎo)致在數(shù)據(jù)包處理上下文中可能存在釋放后重用。攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48540
5、Google Chrome Swiftshader組件越界寫入漏洞
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome Swiftshader組件存在越界寫入漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼或?qū)е聭?yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-46120
二、境內(nèi)廠商產(chǎn)品漏洞
1、暢捷通T+遠(yuǎn)程命令執(zhí)行漏洞
暢捷通T+是一款基于互聯(lián)網(wǎng)的新型企業(yè)管理軟件。暢捷通T+存在遠(yuǎn)程命令執(zhí)行漏洞,攻擊者可利用該漏洞在目標(biāo)服務(wù)器上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48562
2、廣州粵建三和軟件股份有限公司混凝土質(zhì)量追蹤及動(dòng)態(tài)監(jiān)管系統(tǒng)存在未授權(quán)訪問(wèn)漏洞
廣州粵建三和軟件股份有限公司始創(chuàng)于1995年,是國(guó)內(nèi)領(lǐng)先的行業(yè)信息化解決方案專家,主要從事“城市建設(shè)與管理”類軟件的研發(fā)、銷售和服務(wù)工作。廣州粵建三和軟件股份有限公司混凝土質(zhì)量追蹤及動(dòng)態(tài)監(jiān)管系統(tǒng)存在未授權(quán)訪問(wèn)漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19794
3、飛轉(zhuǎn)電子書閱讀器Windows客戶端存在xss漏洞
飛轉(zhuǎn)電子書閱讀器是一款功能強(qiáng)大的電子書閱讀和管理工具。飛轉(zhuǎn)電子書閱讀器Windows客戶端存在xss漏洞,攻擊者可利用該漏洞獲取用戶cookie信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37817
4、TP-Link Archer VR1600V命令注入漏洞
來(lái)源:CNVD漏洞平臺(tái)
TP-Link Archer VR1600V是中國(guó)普聯(lián)(TP-LINK)公司的一款無(wú)線調(diào)制解調(diào)器。TP-Link Archer VR1600V存在命令注入漏洞,該漏洞源于應(yīng)用未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致管理員身份打開(kāi)操作系統(tǒng)的shell。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-49482
5、EyouCMS跨站腳本漏洞(CNVD-2023-49807)
EyouCms是海南贊贊網(wǎng)絡(luò)科技有限公司的一套基于ThinkPHP的開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。EyouCMS 1.6.2版本存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意的JavaScript腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-49807
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)