您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230417-20230423)
一、境外廠商產(chǎn)品漏洞
1、ZOHO ManageEngine ADManager Plus遠(yuǎn)程命令漏洞
ZOHO ManageEngine ADManager Plus是美國卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設(shè)計(jì)的微軟活動(dòng)目錄管理軟件。ZOHO ManageEngine ADManager Plus存在遠(yuǎn)程命令漏洞,攻擊者利用該漏洞通過代理設(shè)置執(zhí)行命令注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28754
2、SAP NetWeaver跨站腳本漏洞(CNVD-2023-28125)
SAP NetWeaver是德國思愛普(SAP)公司的一套面向服務(wù)的集成化應(yīng)用平臺。該平臺主要為SAP應(yīng)用程序提供開發(fā)和運(yùn)行環(huán)境。SAP NetWeaver存在跨站腳本漏洞,該漏洞源于用戶輸入的編碼不足,攻擊者可以利用該漏洞注入暴露敏感數(shù)據(jù)(如用戶 ID 和密碼)的代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28125
3、Siemens SICAM A8000命令注入漏洞
Siemens SICAM A8000是德國西門子(Siemens)公司的一款用于繼電保護(hù)與變電站環(huán)境的保護(hù)與間隔控制單元設(shè)備。Siemens SICAM A8000存在命令注入漏洞。該漏洞源于設(shè)備未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞在設(shè)備上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29699
4、SAP NetWeaver AS Java授權(quán)問題漏洞(CNVD-2023-28121)
SAP NetWeaver AS Java是德國思愛普(SAP)公司的一款提供了Java運(yùn)行環(huán)境的應(yīng)用程序服務(wù)器。該產(chǎn)品主要用于開發(fā)和運(yùn)行Java EE應(yīng)用程序。SAP NetWeaver AS Java 7.50版本存在授權(quán)問題漏洞,該漏洞源于未執(zhí)行必要的授權(quán)檢查。攻擊者可利用該漏洞連接到開放端口,利用開放命名和目錄API訪問服務(wù)器數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28121
5、Microsoft Visual Studio欺騙漏洞(CNVD-2023-29698)
Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個(gè)基本完整的開發(fā)工具集,它包括了整個(gè)軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在欺騙漏洞,攻擊者可借助特制網(wǎng)站利用該漏洞欺騙內(nèi)容并誘導(dǎo)用戶相信該網(wǎng)站的合法性,同時(shí)結(jié)合網(wǎng)頁服務(wù)中的其他漏洞發(fā)起攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29698
二、境內(nèi)廠商產(chǎn)品漏洞
1、D-Link DIR-3040命令注入漏洞
D-Link DIR-3040是中國友訊(D-Link)公司的一個(gè)路由器。提供連接網(wǎng)絡(luò)的功能。D-Link DIR-3040存在命令注入漏洞,該漏洞源于SetTriggerLEDBlink函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28115
2、TOTOLINK A3002MU存在命令執(zhí)行漏洞
A3002MU是一款路由器。TOTOLINK A3002MU存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29051
3、D-Link DIR820LA1命令注入漏洞
D-Link DIR820LA1是中國友訊(D-Link)公司的一款路由器。D-Link DIR820LA1存在命令注入漏洞,攻擊者可利用該漏洞通過設(shè)計(jì)有效載荷將權(quán)限提升至root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28114
4、TOTOLINK T8存在二進(jìn)制漏洞(CNVD-2023-30415)
TOTOLINK T8是一款無線雙頻路由器。TOTOLINK T8存在二進(jìn)制漏洞,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30415
5、D-Link DVG-G5402SP訪問控制錯(cuò)誤漏洞
D-Link DVG-G5402SP是中國友訊(D-Link)公司的一款無線路由器。D-Link DVG-G5402SP存在訪問控制錯(cuò)誤漏洞,未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞通過編輯任意VoIP SIB文件實(shí)現(xiàn)提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28116
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺