您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230217-20230223)
一、境外廠商產(chǎn)品漏洞
1、Siemens Tecnomatix Plant Simulation堆棧緩沖區(qū)溢出漏洞(CNVD-2023-56535)
Siemens Tecnomatix Plant Simulation是德國西門子(Siemens)公司的工控設(shè)備,利用離散事件仿真進(jìn)行生產(chǎn)量分析和優(yōu)化,進(jìn)而改善制造系統(tǒng)性能。Siemens Tecnomatix Plant Simulation存在堆棧緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-56535
2、Trend Micro Apex Central SQL注入漏洞(CNVD-2023-57659)
Trend Micro Apex Central是美國趨勢科技(Trend Micro)公司的一個基于Web的控制臺。Trend Micro Apex Central存在SQl注入漏洞,攻擊者可利用該漏洞提交特殊的SQL請求,操作數(shù)據(jù)庫,獲取敏感信息或執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57659
3、Adobe Acrobat Reader訪問控制錯誤漏洞(CNVD-2023-57682)
Adobe Acrobat Reader是美國奧多比(Adobe)公司的一款PDF查看器。該軟件用于打印,簽名和注釋PDF。Adobe Acrobat Reader存在訪問控制錯誤漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57682
4、Trend Micro Apex Central跨站腳本漏洞(CNVD-2023-57666)
Trend Micro Apex Central是美國趨勢科技(Trend Micro)公司的一個基于Web的控制臺。Trend Micro Apex Central存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意腳本或HTML代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57666
5、Linux kernel cedrus.c資源管理錯誤漏洞
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel 6.3.2之前版本存在安全漏洞,該漏洞源于在drivers/staging/media/sunxi/cedrus/cedrus.c中的cedrus_remove中的dm1105_remove中釋放內(nèi)存的指令發(fā)生混亂。攻擊者可利用該漏洞導(dǎo)致程序崩潰,任意代碼執(zhí)行等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-56647
二、境內(nèi)廠商產(chǎn)品漏洞
1、H3C Magic R300堆棧溢出漏洞(CNVD-2023-57673)
H3C Magic R300是中國新華三(H3C)公司的一款無線路由器。H3C Magic R300存在堆棧溢出漏洞,該漏洞是由于/goform/aspForm上的AddMacList接口未能正確邊界檢查引起的。經(jīng)過身份驗證的遠(yuǎn)程攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57673
2、達(dá)夢企業(yè)管理器(DEM)存在未授權(quán)訪問漏洞
達(dá)夢企業(yè)管理器(DEM)是一個通過Web界面來監(jiān)控、管理并維護(hù)DM數(shù)據(jù)庫的集中式管理平臺。達(dá)夢企業(yè)管理器(DEM)存在未授權(quán)訪問漏洞,攻擊者可以利用該漏洞未授權(quán)訪問存在重要數(shù)據(jù)的接口。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-52177
3、Tenda AC5 setSchedWifi函數(shù)緩沖區(qū)溢出漏洞
Tenda AC5是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC5 setSchedWifi函數(shù)存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57678
4、Huawei HarmonyOS和EMUI AMS模塊安全繞過漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI是華為公司開發(fā)的一種基于Android操作系統(tǒng)的用戶界面。Huawei HarmonyOS和EMUI AMS模塊存在安全繞過漏洞,該漏洞是由于AMS模塊中的輸入驗證不當(dāng)造成的。攻擊者可利用該漏洞繞過身份驗證并獲得管理訪問權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57677
5、Tenda AC5 R7WebsSecurityHandler函數(shù)緩沖區(qū)溢出漏洞
Tenda AC5是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC5 R7WebsSecurityHandler函數(shù)存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-57680
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺