您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230522-20230528)
一、境外廠商產(chǎn)品漏洞
1、Adobe Substance 3D Painter越界讀取漏洞(CNVD-2023-41408)
Adobe Substance 3D Painter是美國奧多比(Adobe)公司的一個3D紋理處理應用程序。Adobe Substance 3D Painter 8.3.0及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41408
2、Schneider Electric EcoStruxure Control Expert代碼執(zhí)行漏洞
Schneider Electric EcoStruxure Control Expert是法國施耐德電氣(Schneider Electric)公司的一套用于Schneider Electric邏輯控制器產(chǎn)品的編程軟件。Schneider Electric EcoStruxure Control Expert V15.1及之前版本存在代碼執(zhí)行漏洞,該漏洞源于存在資源暴露于錯誤領(lǐng)域,攻擊者可利用該漏洞遠程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40176
3、Prestashop路徑遍歷漏洞(CNVD-2023-41497)
PrestaShop是美國PrestaShop公司的一套開源的電子商務解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。Prestashop 1.7.20及之前版本存在路徑遍歷漏洞,該漏洞源于odules/customexporter/downloads/download.php缺乏權(quán)限的控制和路徑名構(gòu)造的控制,攻擊者可利用該漏洞通過路徑遍歷查看信息系統(tǒng)中的所有文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41497
4、Rockwell Automation ArmorStart ST跨站腳本漏洞
Rockwell Automation ArmorStart ST是美國羅克韋爾(Rockwell Automation)公司的一種用于機旁控制架構(gòu)的簡單而經(jīng)濟實用的解決方案。Rockwell Automation ArmorStart ST存在跨站腳本漏洞,遠程攻擊者可利用該漏洞注入惡意腳本或HTML代碼,當惡意數(shù)據(jù)被查看時,可獲取敏感信息或劫持用戶會話。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40912
5、Cisco Identity Services Engine XML外部實體注入漏洞
Cisco Identity Services Engine(ISE)是美國思科(Cisco)公司的一款環(huán)境感知平臺(ISE身份服務引擎)。該平臺通過收集網(wǎng)絡、用戶和設備中的實時信息,制定并實施相應策略來監(jiān)管網(wǎng)絡。Cisco Identity Services Engine存在XML外部實體注入漏洞,經(jīng)過身份驗證的遠程攻擊者可利用該漏洞讀取任意文件或通過受影響的設備進行服務器端請求偽造 (SSRF) 攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40182
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京網(wǎng)瑞達科技有限公司W(wǎng)ebVPN資源訪問控制系統(tǒng)存在SSRF漏洞
WebVPN資源訪問控制系統(tǒng)是一款為用戶提供免客戶端的資源便捷訪問工具。北京網(wǎng)瑞達科技有限公司W(wǎng)ebVPN資源訪問控制系統(tǒng)存在SSRF漏洞,攻擊者可利用該漏洞探測內(nèi)網(wǎng)信息,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29023
2、北京網(wǎng)瑞達科技有限公司資源訪問控制系統(tǒng)(WebVPN)存在弱口令漏洞
資源訪問控制系統(tǒng)(WebVPN)是一款為用戶提供免客戶端的資源便捷訪問工具。北京網(wǎng)瑞達科技有限公司資源訪問控制系統(tǒng)(WebVPN)存在弱口令漏洞,攻擊者可利用該漏洞批量登錄VPN前臺獲取內(nèi)部敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-84288
3、Tenda AC5代碼執(zhí)行漏洞
Tenda AC5是中國騰達(Tenda)公司的一款無線路由器。Tenda AC5 V15.03.06.28版本存在代碼執(zhí)行漏洞,該漏洞源于ip/goform/WriteFacMac的Mac參數(shù)未能正確過濾構(gòu)造代碼段的特殊元素。攻擊者可利用該漏洞導致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40600
4、上海百勝軟件股份有限公司E3全渠道配置中心存在弱口令漏洞
上海百勝軟件股份有限公司是一家全渠道數(shù)字零售解決方案服務商,為零售行業(yè)提供運營咨詢和數(shù)智化解決方案。上海百勝軟件股份有限公司E3全渠道配置中心存在弱口令漏洞,攻擊者可以利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-31917
5、PHPOK代碼問題漏洞
PHPOK是一套支持擴展的企業(yè)建站系統(tǒng)。PHPOK 5.7.140版本存在代碼問題漏洞,該漏洞源于存在文件上傳漏洞,遠程攻擊者可利用該漏洞通過上傳制作的zip文件運行任意代碼和權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41863
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺