您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230116-20230129)
一、境外廠商產(chǎn)品漏洞
1、Mozilla Firefox訪問控制錯誤漏洞(CNVD-2023-03068)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在訪問控制錯誤漏洞,該漏洞源于WebDriver中使用的Remote Agent不驗證Host或Origin報頭。攻擊者可利用該漏洞強(qiáng)制瀏覽器在本地連接回用戶的瀏覽器來控制它。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03068
2、Google Android權(quán)限提升漏洞(CNVD-2023-04551)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞是由于AppRestrictionController.java的getBackgroundRestrictionExceptionReason代碼中的邏輯錯誤,攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04551
3、Mozilla Firefox緩沖區(qū)溢出漏洞(CNVD-2023-03064)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在緩沖區(qū)溢出漏洞,該漏洞源于意外的WebAuthN擴(kuò)展導(dǎo)致內(nèi)存寫入越界。未認(rèn)證的攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064
4、Google Chrome安全繞過漏洞(CNVD-2023-04548)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在安全繞過漏洞,該漏洞是由于安全瀏覽中的策略執(zhí)行不足造成的。攻擊者可利用此漏洞繞過安全限制。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04548
5、Mozilla Firefox輸入驗證錯誤漏洞(CNVD-2023-03059)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在輸入驗證錯誤漏洞,該漏洞源于通過閱讀器模式發(fā)起的請求未正確省略具有SameSite屬性的cookie。攻擊者可利用該漏洞提升權(quán)限在系統(tǒng)上執(zhí)行任意代碼或造成瀏覽器崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03059
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞
電子文檔安全管理系統(tǒng)是一款電子文檔安全加密軟件。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04215
2、TongWeb管理控制臺存在命令執(zhí)行漏洞(CNVD-2022-16268)
TongWeb是北京東方通科技股份有限公司的一款應(yīng)用服務(wù)器。TongWeb管理控制臺存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16268
3、北京用友政務(wù)軟件股份有限公司人大預(yù)算聯(lián)網(wǎng)監(jiān)督系統(tǒng)存在命令執(zhí)行漏洞
北京用友政務(wù)軟件股份有限公司是面向政府部門、事業(yè)單位、非營利組織的全方位業(yè)務(wù)管理信息化解決方案提供商。北京用友政務(wù)軟件股份有限公司人大預(yù)算聯(lián)網(wǎng)監(jiān)督系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-01190
4、華天動力協(xié)同辦公系統(tǒng)存在信息泄露漏洞
大連華天軟件有限公司是按照國際先進(jìn)管理模式和制度組建的高新技術(shù)企業(yè),是一家以技術(shù)領(lǐng)先著稱的協(xié)同管理軟件公司。華天動力協(xié)同辦公系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02782
5、用友GRP-U8存在命令執(zhí)行漏洞(CNVD-2023-02755)
用友GRP-U8是用友公司專注于國家電子政務(wù)事業(yè),基于云計算技術(shù)所推出的新一代產(chǎn)品,是我國行政事業(yè)財務(wù)領(lǐng)域的政府財務(wù)管理軟件。用友GRP-U8存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02755
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源: CNVD漏洞平臺