您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230306-20230312)
一、境外廠商產(chǎn)品漏洞
1、Dell BIOS緩沖區(qū)溢出漏洞(CNVD-2023-14511)
Dell BIOS是美國(guó)戴爾(Dell)公司的一個(gè)計(jì)算機(jī)主板上小型內(nèi)存芯片上的嵌入式軟件。Dell BIOS存在緩沖區(qū)溢出漏洞,該漏洞源于在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。本地經(jīng)過(guò)身份驗(yàn)證的攻擊者可利用該漏洞通過(guò)使用SMI向參數(shù)發(fā)送大于預(yù)期的輸入從而在SMRAM中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14511
2、Microsoft Word遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-14998)
Microsoft Word是美國(guó)微軟(Microsoft)公司的一套Office套件中的文字處理軟件。Microsoft Word存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞在目標(biāo)主機(jī)上執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14998
3、Dell PowerPath Management Appliance授權(quán)問(wèn)題漏洞
Dell PowerPath Management Appliance是美國(guó)戴爾(Dell)公司的一種PowerPath主機(jī)管理應(yīng)用程序,提供兩種模型:基于虛擬機(jī)的設(shè)備和Docker容器化設(shè)備。Dell PowerPath Management Appliance授權(quán)問(wèn)題漏洞。攻擊者利用該漏洞可以獲取敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14505
4、Google TensorFlow緩沖區(qū)溢出漏洞(CNVD-2023-15774)
Google TensorFlow是美國(guó)谷歌(Google)公司的一套用于機(jī)器學(xué)習(xí)的端到端開(kāi)源平臺(tái)。Google TensorFlow存在緩沖區(qū)錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致程序崩潰。參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-15774
5、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-15826)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞在受害者的瀏覽器上下文中執(zhí)行惡意JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15826
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei HarmonyOS安全繞過(guò)漏洞(CNVD-2023-15717)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在安全繞過(guò)漏洞,該漏洞源于應(yīng)用包管理模塊存在接口權(quán)限校驗(yàn)不當(dāng),攻擊者可利用該漏洞恢復(fù)已卸載的預(yù)裝應(yīng)用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15717
2、ZTE OTCP權(quán)限和訪問(wèn)控制漏洞
ZTE OTCP是中國(guó)中興通訊(ZTE)公司的一套下一代網(wǎng)管平臺(tái)產(chǎn)品。ZTE OTCP存在權(quán)限和訪問(wèn)控制漏洞,該漏洞源于權(quán)限設(shè)置不當(dāng),攻擊者可利用該漏洞可以惡意刪除、修改文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15763
3、Tenda AC1200 setWanPpoe函數(shù)堆棧溢出漏洞
Tenda AC1200是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC1200 setWanPpoe函數(shù)存在堆棧溢出漏洞。攻擊者可利用該漏洞通過(guò)特制的溢出數(shù)據(jù)導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15704
4、Huawei HarmonyO SHwContacts模塊邏輯繞過(guò)漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyO SHwContacts模塊存在邏輯繞過(guò)漏洞,攻擊者可利用該漏洞影響數(shù)據(jù)完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15718
5、Tenda AC23堆棧溢出漏洞(CNVD-2023-15700)
Tenda AC23是中國(guó)騰達(dá)(Tenda)公司的一款雙頻千兆無(wú)線路由器。Tenda AC23存在堆棧溢出漏洞,攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15700
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)