您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230410-20230416)
一、境外廠商產(chǎn)品漏洞
1、Apache InLong反序列化漏洞(CNVD-2023-25936)
Apache InLong是美國(guó)阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.1.0版本至1.5.0版本存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,攻擊者可利用該漏洞導(dǎo)致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25936
2、Google Android越界讀取漏洞(CNVD-2023-26065)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在越界讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-26065
3、Adobe Dimension堆緩沖區(qū)溢出漏洞(CNVD-2023-25104)
Adobe Dimension是美國(guó)奧多比(Adobe)公司的是一套2D和3D合成設(shè)計(jì)工具。Adobe Dimension存在堆緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25104
4、Apache OpenOffice代碼執(zhí)行漏洞(CNVD-2023-25931)
Apache OpenOffice是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源的辦公軟件套件。該套件包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫等。Apache OpenOffice存在代碼執(zhí)行漏洞,該漏洞源于包含使用任意參數(shù)調(diào)用內(nèi)部宏的鏈接,激活鏈接后,攻擊者可利用該漏洞導(dǎo)致任意腳本執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25931
5、Apache OpenOffice代碼問題漏洞
Apache OpenOffice是美國(guó)阿帕奇(Apache)基金會(huì)的一款開源的辦公軟件套件。該套件包含文本文檔、電子表格、演示文稿、繪圖、數(shù)據(jù)庫等。Apache OpenOffice 4.1.14之前版本存在代碼問題漏洞,該漏洞源于可以向Java類路徑添加一個(gè)空條目,攻擊者可利用該漏洞導(dǎo)致從當(dāng)前目錄運(yùn)行任意Java代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25930
二、境內(nèi)廠商產(chǎn)品漏洞
1、Foxit PDF Reader資源管理錯(cuò)誤漏洞(CNVD-2023-25120)
Foxit PDF Reader是中國(guó)福昕(Foxit)公司的一款PDF閱讀器。Foxit PDF Reader存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25120
2、億賽通電子文檔安全管理系統(tǒng)存在未授權(quán)訪問漏洞
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全加密軟件。億賽通電子文檔安全管理系統(tǒng)存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-24701
3、Foxit PDF Reader緩沖區(qū)溢出漏洞(CNVD-2023-25113)
Foxit PDF Reader是中國(guó)福昕(Foxit)公司的一款PDF閱讀器。Foxit PDF Reader存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-25113
4、D-Link DIR-3040緩沖區(qū)溢出漏洞
D-Link DIR-3040是中國(guó)友訊(D-Link)公司的一個(gè)路由器。提供連接網(wǎng)絡(luò)的功能。D-Link DIR-3040存在緩沖區(qū)溢出漏洞,該漏洞是由于MiniDLNA服務(wù)的未能正確邊界檢查引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-27674
5、D-Link DIR-867命令注入漏洞
D-Link DIR-867是中國(guó)友訊(D-Link)公司的一款無線路由器。D-Link DIR-867存在命令注入漏洞,該漏洞是由于SetVirtualServerSettings功能中的命令注入漏洞引起的。通過使用LocalIPAddress參數(shù)發(fā)送精心編制的請(qǐng)求,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-27687
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)