您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230130-20230205)
一、境外廠商產(chǎn)品漏洞
1、Adobe InCopy緩沖區(qū)溢出漏洞(CNVD-2023-05231)
Adobe InCopy是Adobe公司出品的一個應(yīng)用程序,用于專業(yè)的文字處理。Adobe InCopy 17.3和16.4.2以及之前版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當前用戶的上下文中任意執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05231
2、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)
IBM Sterling B2B Integrator是美國國際商業(yè)機器(IBM)公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實現(xiàn)復(fù)雜的B2B流程的安全集成。IBM Sterling B2B Integrator Standard Edition存在SQL注入漏洞,攻擊者可利用該漏洞發(fā)送特制的SQL語句,查看、添加、修改或刪除后端數(shù)據(jù)庫中的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05240
3、Apache Superset跨站請求偽造漏洞
Apache Superset是美國阿帕奇(Apache)基金會的一個數(shù)據(jù)可視化和數(shù)據(jù)探索平臺。Apache Superset存在跨站請求偽造漏洞,該漏洞源于用于批準和請求訪問的兩個遺留REST API未能正確驗證用戶輸入,攻擊者可利用該漏洞探測服務(wù)器內(nèi)網(wǎng)資源。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05218
4、Lead Management System SQL注入漏洞
Lead management system是Mayuri K.個人開發(fā)者的一個潛在客戶管理系統(tǒng)。Lead Management System 1.0版本存在SQL注入漏洞,該漏洞源于文件login.php的參數(shù)username缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05746
5、F5 BIG-IP AWAF和ASM拒絕服務(wù)漏洞
F5 BIG-IP是F5公司的一款集成了網(wǎng)絡(luò)流量編排、負載均衡、智能DNS,遠程接入策略管理等功能的應(yīng)用交付平臺。F5 BIG-IP AWAF和ASM存在拒絕服務(wù)漏洞,當在虛擬服務(wù)器上配置BIG-IP Advanced WAF或BIG-IP ASM安全策略時,未公開的請求會導(dǎo)致內(nèi)存資源利用率增加,未經(jīng)身份驗證的遠程攻擊者可利用該漏洞導(dǎo)致服務(wù)降級,從而導(dǎo)致BIG-IP系統(tǒng)上的拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05959
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在文件上傳漏洞(CNVD-2023-03860)
浙江大華技術(shù)股份有限公司是以視頻為核心的智慧物聯(lián)解決方案供應(yīng)商和運營服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03860
2、D-Link DIR-859命令注入漏洞
D-Link DIR-859是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-859A1 1.05存在安全漏洞,該漏洞源于D-Link DIR-859A1 1.05被發(fā)現(xiàn)通過soapcgi_main函數(shù)中的service=變量包含一個命令注入漏洞。目前沒有詳細漏洞細節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05403
3、武漢達夢數(shù)據(jù)庫有限公司達夢數(shù)據(jù)庫管理系統(tǒng)存在邏輯缺陷漏洞
達夢數(shù)據(jù)庫管理系統(tǒng)是達夢公司推出的具有完全自主知識產(chǎn)權(quán)的高性能數(shù)據(jù)庫管理系統(tǒng),簡稱DM。武漢達夢數(shù)據(jù)庫有限公司達夢數(shù)據(jù)庫管理系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84028
4、普聯(lián)技術(shù)有限公司TL-WDR7660 httpProcDataSrv任意代碼執(zhí)行漏洞
TL-WDR7660是中國普聯(lián)(TP-LINK)公司的一款千兆路由器。普聯(lián)技術(shù)有限公司TL-WDR7660 httpProcDataSrv任意代碼執(zhí)行漏洞,遠程攻擊者可利用該漏洞提交特殊的請求,在應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05404
5、北京亞控科技發(fā)展有限公司KingFusion開發(fā)系統(tǒng)存在弱口令漏洞
KingFusion是一款面向工業(yè)企業(yè)執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)。北京亞控科技發(fā)展有限公司KingFusion開發(fā)系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04112
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺