您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20230731-20230806)
一、境外廠商產品漏洞
1、Siemens SIMATIC CN 4100默認權限不正確漏洞
Siemens SIMATIC CN 4100是德國西門子(Siemens)公司的一個通信節(jié)點。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,該漏洞源于受影響的設備在SSH配置中包含不正確的默認值。攻擊者可利用該漏洞繞過網絡隔離。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60604
2、Google Android Framework代碼執(zhí)行漏洞(CNVD-2023-60937)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android Framework存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上獲得提升的權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60937
3、Siemens RUGGEDCOM ROX加密問題漏洞
RUGGEDCOM產品提供了一定程度的穩(wěn)健性和可靠性,為部署在惡劣環(huán)境中的通信網絡設定了標準。Siemens RUGGEDCOM ROX存在安全漏洞,該漏洞源于受影響設備的網絡服務器支持不安全的TLS 1.0協(xié)議。攻擊者可利用該漏洞會實施中間人攻擊并損害數(shù)據(jù)的機密性和完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60612
4、Siemens RUGGEDCOM ROX命令注入漏洞(CNVD-2023-60606)
Siemens RUGGEDCOM是德國西門子(Siemens)公司的一個通信設備。為電力,交通,石油和天然氣及其他行業(yè)提供快速可靠的通信。Siemens RUGGEDCOM ROX存在命令注入漏洞,該漏洞源于缺少服務器端輸入驗證,受影響設備的 Web 界面中的 SCEP CA 證書名稱參數(shù)容易受到命令注入的攻擊。攻擊者可利用該漏洞以root權限執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60606
5、Siemens SIMATIC CN 4100訪問控制不當漏洞
Siemens SIMATIC CN 4100是德國西門子(Siemens)公司的一個通信節(jié)點。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,該漏洞源于受影響的設備在配置文件中包含不正確的訪問控制,從而導致權限升級。攻擊者可利用該漏洞獲得管理員訪問權限,從而完全控制設備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60605
二、境內廠商產品漏洞
1、Milesight UR32L firewall_handler_set函數(shù)緩沖區(qū)溢出漏洞(CNVD-2023-61192)
Milesight UR32L是中國星縱物聯(lián)(Milesight)公司的一個4G工業(yè)路由器。Milesight UR32L firewall_handler_set函數(shù)存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼,或者導致應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61192
2、深圳市電速科技有限公司RushCRM系統(tǒng)存在SQL注入漏洞
深圳市電速科技有限公司是目前廣東省在計算機商業(yè)應用軟件開發(fā)和復雜信息系統(tǒng)集成領域專業(yè)公司之一。深圳市電速科技有限公司RushCRM系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-52220
3、Foxit Reader資源管理錯誤漏洞(CNVD-2023-61389)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.1.15289版本存在資源管理錯誤漏洞,該漏洞源于特制的PDF文檔可以通過操作特定類型的表單字段來觸發(fā)先前釋放的內存的重用,攻擊者可利用該漏洞導致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61389
4、Foxit Reader資源管理錯誤漏洞(CNVD-2023-61388)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.2.15332版本存在安全漏洞,該漏洞源于惡意PDF文檔中特制的Javascript代碼可以觸發(fā)先前釋放對象的重用,攻擊者可利用該漏洞導致內存損壞并導致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61388
5、Foxit Reader類型混淆漏洞(CNVD-2023-61387)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.2.15332版本存在類型混淆漏洞,攻擊者可利用該漏洞通過惡意PDF文檔中特制的Javascript代碼可能會導致內存損壞并導致遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61387
說明:關注度分析由CNVD根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺