您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230918-20230924)
一、境外廠商產(chǎn)品漏洞
1、Apache InLong反序列化漏洞(CNVD-2023-70280)
Apache InLong是美國(guó)阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.4.0版本至1.7.0版本存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,攻擊者可利用該漏洞繞過(guò)當(dāng)前邏輯讀取任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70280
2、Linux kernel權(quán)限提升漏洞(CNVD-2023-70085)
Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70085
3、Siemens QMS Automotive代碼問(wèn)題漏洞
Siemens QMS Automotive是德國(guó)西門子(Siemens)公司的一個(gè)汽車行業(yè)的質(zhì)量管理系統(tǒng)。Siemens QMS Automotive存在代碼問(wèn)題漏洞,攻擊者可利用該漏洞上傳惡意文件,從而可能導(dǎo)致代碼篡改。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71217
4、WordPress Leyka plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會(huì)的產(chǎn)品。WordPress是一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是一個(gè)應(yīng)用插件。WordPress Leyka plugin 3.30.3及之前版本存在跨站腳本漏洞,該漏洞源于未清理和轉(zhuǎn)義其某些設(shè)置,攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71325
5、Siemens Solid Edge內(nèi)存錯(cuò)誤引用漏洞
(CNVD-2023-71238)Siemens Solid Edge是德國(guó)西門子(Siemens)公司的一款三維CAD軟件。該軟件可用于零件設(shè)計(jì)、裝配設(shè)計(jì)、鈑金設(shè)計(jì)、焊接設(shè)計(jì)等行業(yè)。Siemens Solid Edge存在內(nèi)存錯(cuò)誤引用漏洞,該漏洞源于程序負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂。攻擊者可利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71238
二、境內(nèi)廠商產(chǎn)品漏洞
1、啟明星辰信息技術(shù)集團(tuán)股份有限公司天鏡Web應(yīng)用檢測(cè)系統(tǒng)存在命令執(zhí)行漏洞
啟明星辰信息技術(shù)集團(tuán)股份有限公司是一家以從事科技推廣和應(yīng)用服務(wù)業(yè)為主的企業(yè)。啟明星辰信息技術(shù)集團(tuán)股份有限公司天鏡Web應(yīng)用檢測(cè)系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68774
2、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2023-70285)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞通過(guò)發(fā)送特制的請(qǐng)求,導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70285
3、Tenda AC6拒絕服務(wù)漏洞
Tenda AC6是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC6存在拒絕服務(wù)漏洞。該漏洞源于未對(duì)輸入的錯(cuò)誤消息做正確的處理,攻擊者可利用該漏洞通過(guò)wifiPwd_5G參數(shù)中的長(zhǎng)字符串造成拒絕服務(wù)(設(shè)備崩潰)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70090
4、Huawei HarmonyOS權(quán)限提升漏洞(CNVD-2023-70290)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致arp列表被修改。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70290
5、Huawei HarmonyOS安全限制繞過(guò)漏洞(CNVD-2023-70289)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在安全限制繞過(guò)漏洞,該漏洞源于ServiceWifiResources模塊使用不安全簽名,攻擊者可利用該漏洞導(dǎo)致ServiceWifiResources被惡意修改覆蓋。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70289
說(shuō)明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)