您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230904-20230910)
一、境外廠商產(chǎn)品漏洞
1、IBM Security Guardium跨站腳本漏洞(CNVD-2023-66735)
IBM Security Guardium是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線化的審計(jì)流程構(gòu)建等功能。IBM Security Guardium 11.3、11.4和11.5版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞在Web UI中嵌入任意JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-66735
2、Google Chrome Vulkan代碼執(zhí)行漏洞
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome Vulkan存在代碼執(zhí)行漏洞,該漏洞源于Vulkan中存在釋放后重用問題。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼或?qū)е戮芙^服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-67089
3、Oracle MySQL Server拒絕服務(wù)漏洞(CNVD-2023-67110)
Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫。Oracle MySQL Server存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致未經(jīng)授權(quán)的MySQL Server掛起或頻繁重復(fù)崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-67110
4、IBM Security Guardium命令執(zhí)行漏洞(CNVD-2023-66736)
IBM Security Guardium是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線化的審計(jì)流程構(gòu)建等功能。IBM Security Guardium 11.4版本存在命令執(zhí)行漏洞,該漏洞源于應(yīng)用未能正確過濾構(gòu)造命令特殊字符、命令等,經(jīng)過身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞通過發(fā)送特制請(qǐng)求在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-66736
5、Apple多款產(chǎn)品任意代碼執(zhí)行漏洞
iOS是由蘋果公司開發(fā)的移動(dòng)操作系統(tǒng)。iPadOS是蘋果公司基于iOS研發(fā)的移動(dòng)端操作系統(tǒng)系列。macOS Ventura是Apple旗下桌面操作系統(tǒng)。Apple多款產(chǎn)品存在任意代碼執(zhí)行漏洞,攻擊者可利用漏洞從iMessage帳戶發(fā)送惡意圖像給目標(biāo)用戶,在不與受害者進(jìn)行任何交互的情況下執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68417
二、境內(nèi)廠商產(chǎn)品漏洞
1、上海紐盾科技股份有限公司Reporter組件存在命令執(zhí)行漏洞
上海紐盾科技股份有限公司是一家以“網(wǎng)絡(luò)安全”為主軸,以“讓網(wǎng)絡(luò)更安全”為使命,為客戶提供網(wǎng)絡(luò)安全整體解決方案的專業(yè)安全公司。上海紐盾科技股份有限公司Reporter組件存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器的root權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-62355
2、北京國(guó)炬信息技術(shù)有限公司積木報(bào)表存在信息泄露漏洞
北京國(guó)炬信息技術(shù)有限公司是一家從事計(jì)算機(jī)軟件研發(fā)、應(yīng)用及服務(wù),為大中型應(yīng)用系統(tǒng)工程提供全方位支持的信息技術(shù)公司。北京國(guó)炬信息技術(shù)有限公司積木報(bào)表存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40557
3、泛雅課堂存在命令執(zhí)行漏洞
泛雅課堂是一款在線課堂軟件。泛雅課堂存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-34055
4、用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在反序列化漏洞
U8 Cloud是一款企業(yè)上云數(shù)字化平臺(tái),集交易、服務(wù)、管理于一體的ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 Cloud存在反序列化漏洞,攻擊者可利用漏洞遠(yuǎn)程執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53005
5、珠海奔圖打印科技有限公司Pantum M6700DW Series存在邏輯缺陷漏洞
珠海奔圖打印科技有限公司是一家掌握打印機(jī)核心技術(shù)和自主知識(shí)產(chǎn)權(quán),集研發(fā)、設(shè)計(jì)、生產(chǎn)、銷售打印機(jī)、耗材及文印輸出解決方案為一體的企業(yè)。珠海奔圖打印科技有限公司Pantum M6700DW Series存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44338
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)