您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20230703-20230709)
一、境外廠商產品漏洞
1、Microsoft Excel代碼執(zhí)行漏洞(CNVD-2023-53909)
Microsoft Excel是美國微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件。Microsoft Excel存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53909
2、Adobe Animate緩沖區(qū)溢出漏洞(CNVD-2023-54550)
Adobe Animate是由Adobe公司開發(fā)的多媒體創(chuàng)作和電腦動畫程序,用于設計矢量圖形和動畫。Adobe Animate存在安全漏洞,在解析精心制作的文件時受到越界讀取漏洞的影響,這可能導致讀取超出分配的內存結構的末尾。攻擊者可以利用該漏洞在當前用戶的環(huán)境中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54550
3、Google Android資源管理錯誤漏洞(CNVD-2023-53160)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在資源管理錯誤漏洞,攻擊者可利用該漏洞通過藍牙遠程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53160
4、Linux kernel信息泄露漏洞(CNVD-2023-54416)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。Linux kernel存在信息泄露漏洞,該漏洞源于timens_install調用current_is_single_threaded來判斷當前進程是否是單線程的,但是這個調用未能考慮io_uring的io_worker線程,攻擊者可利用該漏洞將內核內存信息泄露給用戶進程。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54416
5、Oracle Database Server Java VM組件拒絕服務漏洞
Oracle Database Server是美國甲骨文(Oracle)公司的一套關系數據庫管理系統(tǒng)。該數據庫管理系統(tǒng)提供數據管理、分布式處理等功能。Oracle Database Server存在拒絕服務漏洞,攻擊者可利用該漏洞造成拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53454
二、境內廠商產品漏洞
1、北京星網銳捷網絡技術有限公司RG-BCR860操作系統(tǒng)命令注入漏洞
RG-BCR860是中國銳捷網絡(Ruijie Networks)公司的一款商業(yè)云路由器。北京星網銳捷網絡技術有限公司RG-BCR860 2.5.13版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于組件Network Diagnostic Page未能正確過濾構造命令特殊字符、命令等,攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54867
2、IKuai OS命令注入漏洞
IKuai OS是中國愛快(IKuai)公司的一個操作系統(tǒng)。提供了一組強大的網關,基于DPI的流量整形,AC控制,門戶身份驗證功能,可通過降低初始安裝成本來提高資本效率。IKuai OS 3.7.1版本存在命令注入漏洞,該漏洞源于webman.lua文件的ActionLogin函數未能正確過濾構造命令特殊字符、命令等,攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54864
3、杭州??低晹底旨夹g股份有限公司iVMS-8700綜合安防管理平臺存在文件上傳漏洞
iVMS-8700綜合安防管理平臺是一款基于SOA系統(tǒng)架構的集成多系統(tǒng)的聯(lián)網平臺。杭州??低晹底旨夹g股份有限公司iVMS-8700綜合安防管理平臺存在文件上傳漏洞,攻擊者可利用漏洞上傳惡意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53133
4、IBOS OA SQL注入漏洞
IBOS是一個協(xié)同辦公管理系統(tǒng)。IBOS OA 4.5.5版本存在SQL注入漏洞,該漏洞源于組件Add User Handler中的參數id缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數據庫敏感數據。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54865
5、novel-plus文件上傳漏洞
novel-plus(小說精品屋-plus)是一個多端(PC、WAP)閱讀、功能完善的原創(chuàng)文學CMS系統(tǒng)。novel-plus存在文件上傳漏洞,該漏洞源于/novel-admin/src/main/java/com/java2nb/common/controller/FileController.java缺少對于文件上傳的限制。攻擊者可利用漏洞上傳惡意JSP文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54404
說明:關注度分析由CNVD根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源: CNVD漏洞平臺