您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231023-20231029)
一、境外廠商產(chǎn)品漏洞
1、Cisco Catalyst SD-WAN Manager授權(quán)繞過漏洞
Cisco Catalyst SD-WAN Manager是美國思科(Cisco)公司的一款SD-WAN網(wǎng)絡(luò)管理程序。Cisco Catalyst SD-WAN Manager多租戶功能的會(huì)話管理系統(tǒng)存在安全漏洞,遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請(qǐng)求,可未授權(quán)圈訪問系統(tǒng),獲取敏感信息等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-80114
2、Microsoft Excel代碼執(zhí)行漏洞(CNVD-2023-80164)
Microsoft Excel是美國微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件。Microsoft Excel存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-80164
3、IBM Robotic Process Automation安全繞過漏洞
IBM Robotic Process Automation是美國國際商業(yè)機(jī)器(IBM)公司的一種機(jī)器人流程自動(dòng)化產(chǎn)品。IBM Robotic Process Automation存在安全繞過漏洞,攻擊者可利用該漏洞導(dǎo)致客戶端驗(yàn)證繞過。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-79714
4、Apache Helix反序列化漏洞
Apache Helix是美國阿帕奇(Apache)基金會(huì)的一個(gè)通用集群管理框架,用于自動(dòng)管理托管在節(jié)點(diǎn)集群上的分區(qū)、復(fù)制和分布式資源。Apache Helix存在反序列化漏洞,該漏洞源于可以利用SnakeYAML對(duì)java.net.URLClassLoader進(jìn)行反序列化,使其從指定的URL加載JAR,并隨后對(duì)javax.script.ScriptEngineManager進(jìn)行反序列化,使用該ClassLoader加載代碼。攻擊者可利用該漏洞導(dǎo)致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-80562
5、Rockwell Automation Pavilion8授權(quán)問題漏洞
Rockwell Automation Pavilion8是美國羅克韋爾(Rockwell Automation)公司的一個(gè)模型預(yù)測(cè)控制臺(tái)。Rockwell Automation Pavilion8存在授權(quán)問題漏洞,該漏洞源于JMX Console向用戶公開,且不需要身份驗(yàn)證。攻擊者可利用該漏洞檢索其他用戶的會(huì)話數(shù)或?qū)⒂脩魪钠鋾?huì)話中注銷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-79689
二、境內(nèi)廠商產(chǎn)品漏洞
1、安徽青柿信息科技有限公司LiveNVS存在未授權(quán)訪問漏洞
LiveNVS是一套專門用于集中化管理LiveNVR的解決方案。安徽青柿信息科技有限公司LiveNVS存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-78406
2、Dreamer CMS跨站腳本漏洞(CNVD-2023-79682)
Dreamer CMS是一個(gè)夢(mèng)想家內(nèi)容管理系統(tǒng)。Dreamer CMS v4.1.3版本存在跨站腳本漏洞,該漏洞源于組件/admin/u/toIndex對(duì)用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-79682
3、DedeBIZ代碼執(zhí)行漏洞
DedeBIZ是中國穆云智能科技(DedeBIZ)公司的一個(gè)內(nèi)容管理系統(tǒng)。DedeBIZ v6.2.11版本存在代碼執(zhí)行漏洞,該漏洞源于在/admin/file_manage_control.php中的$activepath和$filename參數(shù)未能正確過濾構(gòu)造代碼段的特殊元素。攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-80116
4、浙江大華技術(shù)股份有限公司DSS平安城市系統(tǒng)存在命令執(zhí)行漏洞
浙江大華技術(shù)股份有限公司是監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司DSS平安城市系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-72122
5、啟明星辰信息技術(shù)集團(tuán)股份有限公司天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在文件包含漏洞
天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。啟明星辰信息技術(shù)集團(tuán)股份有限公司天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在文件包含漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-77466
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)