您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230515-20230521)
一、境外廠商產(chǎn)品漏洞
1、Adobe Substance 3D Stager緩沖區(qū)溢出漏洞(CNVD-2023-37602)
Adobe Substance 3D Stager是美國(guó)奧多比(Adobe)公司的一個(gè)虛擬3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37602
2、Schneider Electric IGSS Data Server緩沖區(qū)溢出漏洞(CNVD-2023-38194)
Schneider Electric Igss Data Server是法國(guó)施耐德電氣(Schneider Electric)公司的一個(gè)交互式圖形Scada系統(tǒng)的數(shù)據(jù)服務(wù)器。Schneider Electric IGSS Data Server 15.0.0.22140之前版本存在緩沖區(qū)溢出漏洞,該漏洞源于在處理未受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤,攻擊者可利用該漏洞發(fā)送特制的時(shí)間縮短數(shù)據(jù)消息,導(dǎo)致內(nèi)存損壞并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-38194
3、IBM WebSphere Application Server跨站腳本漏洞(CNVD-2023-37168)
IBM WebSphere Application Server是一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺(tái),也是IBM WebSphere軟件平臺(tái)的基礎(chǔ)。IBM WebSphere Application Server存在跨站腳本漏洞。該漏洞允許用戶在Web UI中嵌入任意JavaScript代碼,從而改變預(yù)期的功能,可能導(dǎo)致可信會(huì)話中的憑據(jù)泄露。攻擊者可利用該漏洞對(duì)目標(biāo)有針對(duì)性的發(fā)起攻擊,危害站點(diǎn)系統(tǒng)安全。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37168
4、Schneider Electric StruxureWare Data Center Expert訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2023-37594)
Schneider Electric StruxureWare Data Center Expert是法國(guó)施耐德電氣(Schneider Electric)公司的一種監(jiān)控軟件。適用于各種組織監(jiān)控其全公司范圍內(nèi)的電力、制冷、安全、環(huán)境。Schneider Electric StruxureWare Data Center Expert 7.9.2及之前版本存在訪問(wèn)控制錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37594
5、Adobe Substance 3D Stager越界讀取漏洞(CNVD-2023-37605)
Adobe Substance 3D Stager是美國(guó)奧多比(Adobe)公司的一個(gè)虛擬3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37605
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei EMUI和HarmonyOS信息泄露漏洞
Huawei EMUI是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Huawei HarmonyOS是提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei EMUI和HarmonyOS存在信息泄露漏洞,該漏洞是由于內(nèi)存管理模塊中的邏輯繞過(guò)引起的。攻擊者可利用此漏洞訪問(wèn)未經(jīng)授權(quán)的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-38962
2、D-Link DIR-605L堆棧緩沖區(qū)溢出漏洞
D-Link DIR-605L是中國(guó)友訊(D-Link)公司的一款無(wú)線路由器。D-Link DIR-605L 1.17B01 BETA版本存在堆棧緩沖區(qū)溢出漏洞,該漏洞是由于/goform/formTcpipSetup不正確的邊界檢查引起的。攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼,或者導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39044
3、ZTE Zxhn F677目錄遍歷漏洞
ZTE Zxhn F677是中國(guó)中興(ZTE)公司的一款雙頻無(wú)線路由器。ZTE Zxhn F677 9.0.0p1n29之前版本存在目錄遍歷漏洞。該漏洞源于缺乏對(duì)用戶修改的目的路徑的驗(yàn)證,攻擊者可利用漏洞修改FTP訪問(wèn)路徑進(jìn)行訪問(wèn),并在未經(jīng)授權(quán)的情況下修改系統(tǒng)路徑內(nèi)容,從而造成信息泄露,影響設(shè)備運(yùn)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39043
4、Huawei BiSheng-WNM FW拒絕服務(wù)漏洞
Huawei BiSheng-WNM FW是中國(guó)華為(Huawei)公司的一款華為打印機(jī)。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒絕服務(wù)漏洞,攻擊者利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39041
5、ZTE MF297D信息泄露漏洞
ZTE MF297D是中國(guó)中興(ZTE)公司的一款4G無(wú)線路由器。ZTE MF297D存在信息泄露漏洞,該漏洞源于存在密碼問(wèn)題漏洞。攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39042
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)