您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230925-20231008)
一、境外廠商產(chǎn)品漏洞
1、IBM FileNet Content Manager Web UI跨站腳本漏洞
IBM FileNet Content Manager是一種靈活且功能齊全的內(nèi)容管理解決方案。IBM FileNet Content Manager Web UI存在跨站腳本漏洞,遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本或HTML代碼,當(dāng)惡意數(shù)據(jù)被查看時,可獲取敏感信息或劫持用戶會話。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74534
2、Apache Flink代碼注入漏洞
Apache Flink是美國Apache基金會的一款開源的分布式流數(shù)據(jù)處理引擎。該產(chǎn)品主要使用Java和Scala語言編寫。Func是Knative開源的一個客戶端庫和CLI ,支持功能的開發(fā)和部署。Apache Flink Stateful Functions存在代碼注入漏洞,該漏洞源于HTTP標(biāo)頭中CRLF序列的不正確中和,攻擊者可利用該漏洞注入惡意內(nèi)容到發(fā)送到用戶瀏覽器的HTTP響應(yīng)中。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-72234
3、Google libwebp代碼執(zhí)行漏洞
Libwebp是一個開源的用于編碼和解碼WebP圖像格式的C/C++庫。它提供了一組函數(shù)和工具,用于將圖像數(shù)據(jù)編碼為WebP格式,并將WebP格式的圖像解碼為原始圖像數(shù)據(jù)。Libwebp庫可以作為其他程序的依賴庫,用于添加WebP圖像格式的支持。Google libwebp存在代碼執(zhí)行漏洞,該漏洞是由于BuildHuffmanTable() 填充二級表時,可能會出現(xiàn)寫入越界,攻擊者可利用該漏洞在目標(biāo)系統(tǒng)執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-73247
4、Mozilla Firefox進(jìn)程創(chuàng)建兩次釋放漏洞
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox進(jìn)程創(chuàng)建存在兩次釋放漏洞,遠(yuǎn)程攻擊者可以利用改漏洞提交特殊的Web請求,誘使用戶解析,可使應(yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74541
5、Linux Kernel eBPF本地權(quán)限提升漏洞
Linux Kernel是一款開源的操作系統(tǒng)。Linux Kernel eBPF處理存在安全漏洞,本地攻擊者可利用改漏洞提交特殊的請求,可提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74539
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京奧博威斯科技有限公司JeecgBoot存在命令執(zhí)行漏洞
JeecgBoot是一款企業(yè)級的低代碼平臺。北京奧博威斯科技有限公司JeecgBoot存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69437
2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞(CNVD-2023-67975)
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-67975
3、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御上網(wǎng)行為管理系統(tǒng)Leadsec ACM存在SQL注入漏洞
北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務(wù)。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御上網(wǎng)行為管理系統(tǒng)Leadsec ACM存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69422
4、太原易思軟件技術(shù)有限公司智能物流無人值守系統(tǒng)存在文件上傳漏洞
智能物流無人值守系統(tǒng)是針對流程生產(chǎn)企業(yè)原料采購、產(chǎn)成品銷售及廠內(nèi)物流的統(tǒng)一管控智能信息化平臺。太原易思軟件技術(shù)有限公司智能物流無人值守系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞上傳任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69362
5、陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司數(shù)字報后臺管理系統(tǒng)存在文件上傳漏洞
陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司專注于新媒體軟件開發(fā)和融媒體中心建設(shè),向客戶提供新媒體系列化解決方案、產(chǎn)品和服務(wù)。陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司數(shù)字報后臺管理系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68768
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺