您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230918-20230924)
一、境外廠商產(chǎn)品漏洞
1、Apache InLong反序列化漏洞(CNVD-2023-70280)
Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.4.0版本至1.7.0版本存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,攻擊者可利用該漏洞繞過當(dāng)前邏輯讀取任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70280
2、Linux kernel權(quán)限提升漏洞(CNVD-2023-70085)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70085
3、Siemens QMS Automotive代碼問題漏洞
Siemens QMS Automotive是德國西門子(Siemens)公司的一個汽車行業(yè)的質(zhì)量管理系統(tǒng)。Siemens QMS Automotive存在代碼問題漏洞,攻擊者可利用該漏洞上傳惡意文件,從而可能導(dǎo)致代碼篡改。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71217
4、WordPress Leyka plugin跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。WordPress Leyka plugin 3.30.3及之前版本存在跨站腳本漏洞,該漏洞源于未清理和轉(zhuǎn)義其某些設(shè)置,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71325
5、Siemens Solid Edge內(nèi)存錯誤引用漏洞
(CNVD-2023-71238)Siemens Solid Edge是德國西門子(Siemens)公司的一款三維CAD軟件。該軟件可用于零件設(shè)計、裝配設(shè)計、鈑金設(shè)計、焊接設(shè)計等行業(yè)。Siemens Solid Edge存在內(nèi)存錯誤引用漏洞,該漏洞源于程序負責(zé)釋放內(nèi)存的指令發(fā)生混亂。攻擊者可利用此漏洞在當(dāng)前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71238
二、境內(nèi)廠商產(chǎn)品漏洞
1、啟明星辰信息技術(shù)集團股份有限公司天鏡Web應(yīng)用檢測系統(tǒng)存在命令執(zhí)行漏洞
啟明星辰信息技術(shù)集團股份有限公司是一家以從事科技推廣和應(yīng)用服務(wù)業(yè)為主的企業(yè)。啟明星辰信息技術(shù)集團股份有限公司天鏡Web應(yīng)用檢測系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68774
2、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2023-70285)
Huawei HarmonyOS是中國華為(Huawei)公司的一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞通過發(fā)送特制的請求,導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70285
3、Tenda AC6拒絕服務(wù)漏洞
Tenda AC6是中國騰達(Tenda)公司的一款無線路由器。Tenda AC6存在拒絕服務(wù)漏洞。該漏洞源于未對輸入的錯誤消息做正確的處理,攻擊者可利用該漏洞通過wifiPwd_5G參數(shù)中的長字符串造成拒絕服務(wù)(設(shè)備崩潰)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70090
4、Huawei HarmonyOS權(quán)限提升漏洞(CNVD-2023-70290)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致arp列表被修改。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70290
5、Huawei HarmonyOS安全限制繞過漏洞(CNVD-2023-70289)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在安全限制繞過漏洞,該漏洞源于ServiceWifiResources模塊使用不安全簽名,攻擊者可利用該漏洞導(dǎo)致ServiceWifiResources被惡意修改覆蓋。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-70289
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺