您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230911-20230917)
一、境外廠商產(chǎn)品漏洞
1、IBM Sterling Connect:Direct加密問(wèn)題漏洞
IBM Sterling Connect:Direct是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套基于文件的點(diǎn)對(duì)點(diǎn)文件傳輸解決方案。IBM Sterling Connect:Direct存在加密問(wèn)題漏洞,該漏洞源于使用了較弱的加密算法,攻擊者可以利用該漏洞解密敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68777
2、IBM Security Directory Server目錄遍歷漏洞
IBM Security Directory Server是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套使用了輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)的企業(yè)身份管理軟件。該軟件提供一個(gè)可信的身份數(shù)據(jù)基礎(chǔ)架構(gòu),用于身份驗(yàn)證。IBM Security Directory Server 7.2.0版本存在目錄遍歷漏洞,該漏洞源于程序在處理目錄請(qǐng)求時(shí)的路徑缺乏有效性檢查,攻擊者可利用該漏洞發(fā)送特制的URL請(qǐng)求,以查看或?qū)懭胂到y(tǒng)上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70071
3、Mozilla Firefox代碼執(zhí)行漏洞(CNVD-2023-68441)
Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。Mozilla Firefox 110之前版本存在代碼執(zhí)行漏洞,該漏洞源于開(kāi)發(fā)人員工具網(wǎng)絡(luò)面板中的URL預(yù)覽未正確存儲(chǔ)URL,攻擊者可利用該漏洞使用未知的攻擊向量覆蓋特權(quán)代碼中的全局對(duì)象,并在易受攻擊的系統(tǒng)上執(zhí)行任意代碼或?qū)е戮芙^服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68441
4、IBM Robotic Process Automation日志信息泄露漏洞
IBM Robotic Process Automation是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一種機(jī)器人流程自動(dòng)化產(chǎn)品。可幫助您以傳統(tǒng)RPA的輕松和速度大規(guī)模自動(dòng)化更多業(yè)務(wù)和IT流程。IBM Robotic Process Automation存在安全漏洞,該漏洞源于允許經(jīng)過(guò)身份驗(yàn)證的用戶查看應(yīng)用程序日志中的敏感信息。目前沒(méi)有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68775
5、Google Android權(quán)限提升漏洞(CNVD-2023-69042)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞源于InsecureEapNetworkHandler.java的isServerCertChainValid模塊代碼中的邏輯錯(cuò)誤,攻擊者可利用此漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69042
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC9緩沖區(qū)溢出漏洞(CNVD-2023-70072)
Tenda AC9是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC9 V3.0BR_V15.03.06.42_multi_TD01版本存在緩沖區(qū)溢出漏洞,該漏洞源于URL /goform/SetFirewallCfg處的參數(shù)“firewall_value”未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70072
2、Tenda AC23 sub_451784函數(shù)堆棧溢出漏洞
Tenda AC23是中國(guó)騰達(dá)(Tenda)公司的一款雙頻千兆無(wú)線路由器。Tenda AC23 sub_451784函數(shù)存在堆棧溢出漏洞,該漏洞源于sub_451784函數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69722
3、友訊電子設(shè)備(上海)有限公司DSL-224 3.0.10版本存在身份驗(yàn)證繞過(guò)漏洞
友訊電子設(shè)備(上海)有限公司DSL-224是中國(guó)友訊(D-Link)公司的一款無(wú)線路由器。友訊電子設(shè)備(上海)有限公司DSL-224 3.0.10版本存在身份驗(yàn)證繞過(guò)漏洞,該漏洞源于對(duì)過(guò)多身份驗(yàn)證嘗試的不當(dāng)限制。攻擊者可利用該漏洞導(dǎo)致身份驗(yàn)證繞過(guò)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70088
4、Tenda AC6拒絕服務(wù)漏洞
Tenda AC6是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC6存在拒絕服務(wù)漏洞。該漏洞源于未對(duì)輸入的錯(cuò)誤消息做正確的處理,攻擊者可利用該漏洞通過(guò)wifiPwd_5G參數(shù)中的長(zhǎng)字符串造成拒絕服務(wù)(設(shè)備崩潰)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70090
5、ASUS RT-AC86U命令注入漏洞(CNVD-2023-70091)
RT-AC86U是華碩推出的一款路由器,無(wú)線速率2900M,天線外置天線,WAN接入口千兆網(wǎng)口。RT-AC86U整合了ASUS AiProtection,其搭載了Trend Micro智能型家庭網(wǎng)絡(luò)的企業(yè)級(jí)網(wǎng)絡(luò)性安全系統(tǒng), 即便連接裝置本身不具防毒功能AiProtection也會(huì)提供保護(hù)。ASUS RT-AC86U在3.0.0.4.386.51529版本中存在命令注入漏洞。該漏洞是由于對(duì)特殊字符過(guò)濾不足導(dǎo)致的。具有普通用戶權(quán)限的遠(yuǎn)程攻擊者可以利用該漏洞執(zhí)行命令注入攻擊,執(zhí)行任意命令,破壞系統(tǒng)或終止服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70091
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)