您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230220-20230226)
一、境外廠商產(chǎn)品漏洞
1、Siemens Tecnomatix Plant Simulation越界寫入漏洞(CNVD-2023-10619)
Siemens Tecnomatix Plant Simulation是面向?qū)ο蟮摹D形化的、集成的建模、仿真工具。Siemens Tecnomatix Plant Simulation存在越界寫入漏洞,該漏洞是由于受影響的應(yīng)用程序在解析特制的SPP文件時包含超出已分配緩沖區(qū)末尾的越界寫入。攻擊者可利用該在當前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-10619
2、Ingredients Stock Management System SQL注入漏洞(CNVD-2023-11173)
Ingredients Stock Management System是Carlo Montero個人開發(fā)者的一個配料庫存管理系統(tǒng)。Ingredients Stock Management System v1.0版本存在SQL注入漏洞,該漏洞源于/admin/?page=reports/stockin&month=處的month參數(shù)缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11173
3、Google TensorFlow輸入驗證錯誤漏洞(CNVD-2023-10611)
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學習的端到端開源平臺。Google TensorFlow存在輸入驗證錯誤漏洞,該漏洞源于如果QuantizedAdd被賦予min_input或max_input非零等級的張量會出現(xiàn)分段錯誤,攻擊者可利用該漏洞觸發(fā)拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-10611
4、OTFCC代碼問題漏洞(CNVD-2023-12008)
OTFCC是Caryll開源的一個C庫和實用程序。用于解析和編寫OpenType字體文件。OTFCC 0.10.4版本存在代碼問題漏洞,該漏洞源于/release-x64/otfccdump+0x4fe9a7文件中存在分段違規(guī)問題。攻擊者可利用該漏洞導致程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-12008
5、IBM InfoSphere Information Server跨站腳本漏洞(CNVD-2023-11689)
IBM InfoSphere Information Server是企業(yè)級信息集成平臺。它能夠幫助客戶理解異構(gòu)系統(tǒng)中的各種復雜信息,并且通過清洗和轉(zhuǎn)換生成一致、完整的可信賴信息,最后將可信賴信息以各種方式交付給各種業(yè)務(wù)系統(tǒng)。IBM InfoSphere Information Server 11.7版本存在跨站腳本漏洞,攻擊者可以利用該漏洞注入惡意的JavaScript腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11689
二、境內(nèi)廠商產(chǎn)品漏洞
1、億賽通電子文檔安全管理系統(tǒng)存在任意文件讀取漏洞(CNVD-2023-09184)
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全加密軟件。億賽通電子文檔安全管理系統(tǒng)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-09184
2、北京力控元通科技有限公司ForceControl存在邏輯缺陷漏洞
ForceControl是一款通用型的人機可視化監(jiān)控組態(tài)軟件,是國內(nèi)率先以分布式實時數(shù)據(jù)庫技術(shù)作為內(nèi)核的自動化軟件產(chǎn)品。北京力控元通科技有限公司ForceControl存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-08750
3、SEMCMS Ant_Pro.php SQL注入漏洞
SEMCMS是一套支持多種語言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS SHOP 1.1版本存在SQL注入漏洞,該漏洞源于Ant_Pro.php缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11701
4、新天科技無線GPRS抄表監(jiān)測管理系統(tǒng)存在弱口令漏洞
無線GPRS抄表監(jiān)測管理系統(tǒng)主要為城鎮(zhèn)供水管網(wǎng)的計量、管理、監(jiān)控、分析而設(shè)計的一套系統(tǒng)。新天科技無線GPRS抄表監(jiān)測管理系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20438
5、SEMCMS Ant_Zekou.php SQL注入漏洞
SEMCMS是一套支持多種語言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS SHOP 1.1版本存在SQL注入漏洞,該漏洞源于Ant_Zekou.php缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11700
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺