您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
20230327-20230402)
一、境外廠商產(chǎn)品漏洞
1、LS ELECTRIC XBC-DN32U拒絕服務(wù)漏洞
LS ELECTRIC XBC-DN32U是韓國(guó)LS ELECTRIC公司的一款PLC可編程邏輯控制器。LS ELECTRIC XBC-DN32U存在拒絕服務(wù)漏洞,該漏洞源于訪問(wèn)在通信緩沖區(qū)之外的內(nèi)存位置時(shí)設(shè)備將停止運(yùn)行,攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21683
2、IBM Financial Transaction Manager目錄遍歷漏洞(CNVD-2023-20086)
IBM Financial Transaction Manager是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一款金融事務(wù)管理器。IBM Financial Transaction Manager存在目錄遍歷安全漏洞,遠(yuǎn)程攻擊者可以利用該漏洞提交特殊的請(qǐng)求,在應(yīng)用程序上下文查看系統(tǒng)文件內(nèi)容,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-20086
3、Google Android越界寫(xiě)入漏洞(CNVD-2023-21685)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在越界寫(xiě)入漏洞,攻擊者可利用該漏洞導(dǎo)致需要系統(tǒng)執(zhí)行特權(quán)的本地信息公開(kāi)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21685
4、IBM WebSphere Application Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2023-20087)
IBM WebSphere Application Server(WAS)是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺(tái),也是IBMWebSphere軟件平臺(tái)的基礎(chǔ)。IBM WebSphere Application Server HTTP Server 8.5版本存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于未對(duì)輸入的錯(cuò)誤消息做正確的處理,遠(yuǎn)程攻擊者可利用該漏洞通過(guò)使用特制URL導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-20087
5、LS ELECTRIC XBC-DN32U訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2023-21680)
LS ELECTRIC XBC-DN32U是韓國(guó)LS ELECTRIC公司的一款 PLC 可編程邏輯控制器。LS ELECTRIC XBC-DN32U 01.80版本存在訪問(wèn)控制錯(cuò)誤漏洞,該漏洞源于缺少對(duì)PLC執(zhí)行關(guān)鍵功能的身份驗(yàn)證,攻擊者可利用該漏洞任意更改PLC的模式。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21680
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AX3緩沖區(qū)溢出漏洞(CNVD-2023-21669)
Tenda Ax3是中國(guó)騰達(dá)(Tenda)公司的一款A(yù)x1800千兆端口雙頻Wifi 6無(wú)線路由器。Tenda AX3 V16.03.12.11存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/WifiGuestSet中的shareSpeed參數(shù)未能正確驗(yàn)證用戶輸入,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行或者拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21669
2、D-Link DWL-2600AP命令注入漏洞
D-Link DWL-2600AP是中國(guó)友訊(D-Link)公司的一款無(wú)線接入點(diǎn)設(shè)備。D-Link DWL-2600AP存在命令注入漏洞,攻擊者可利用該漏洞以root身份執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21664
3、TOTOLINK A950RG存在命令執(zhí)行漏洞
TOTOLINK A950RG是一款無(wú)線路由器。TOTOLINK A950RG存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19487
4、北京亞控科技發(fā)展有限公司KingPortal開(kāi)發(fā)系統(tǒng)存在未授權(quán)訪問(wèn)漏洞
北京亞控科技發(fā)展有限公司是一家自動(dòng)化軟件平臺(tái)高科技企業(yè)。北京亞控科技發(fā)展有限公司KingPortal開(kāi)發(fā)系統(tǒng)存在未授權(quán)訪問(wèn)漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18227
5、D-Link DIR-2150操作系統(tǒng)命令注入漏洞
D-Link DIR-2150是D-Link公司的一個(gè)無(wú)線路由器設(shè)備。D-Link DIR-2150存在操作系統(tǒng)命令注入漏洞,攻擊者可利用該漏洞在路由器上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-21661
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)