您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231106-20231112)
一、境外廠商產(chǎn)品漏洞
1、IBM Security Verify Governance命令執(zhí)行漏洞
IBM Security Verify Governance是美國國際商業(yè)機器(IBM)公司的一個智能身份訪問平臺。為組織提供了一個平臺來分析、定義和控制用戶訪問和訪問風(fēng)險。IBM Security verify Governance存在命令執(zhí)行漏洞,該漏洞源于應(yīng)用未能正確過濾構(gòu)造命令特殊字符、命令等。經(jīng)過身份驗證的遠程攻擊者可利用該漏洞通過發(fā)送特制請求來在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-83660
2、Microsoft Message Queuing遠程代碼執(zhí)行漏洞(CNVD-2023-84126)
Microsoft Message Queuing是用于實現(xiàn)需要高性能的異步和同步場景的解決方案。Microsoft Message Queuing存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84126
3、Google Android權(quán)限提升漏洞(CNVD-2023-84086)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致本地特權(quán)提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84086
4、HCL Technologies Commerce目錄遍歷漏洞
HCL Technologies Commerce是美國HCL Technologies公司的一款用于電子商務(wù)的軟件平臺框架。該軟件在可定制的集成軟件包中包括營銷,銷售,客戶和訂單處理功能。HCL Technologies Commerce存在目錄遍歷漏洞,攻擊者可利用該漏洞使用特制的URL讀取系統(tǒng)上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84324
5、Google Android權(quán)限提升漏洞(CNVD-2023-84095)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84095
二、境內(nèi)廠商產(chǎn)品漏洞
1、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞
D-Link DAR-7000是中國友訊(D-Link)公司的一款上網(wǎng)行為審計網(wǎng)關(guān)。D-Link DAR-7000 mailrecvview.php文件存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85604
2、Huawei HarmonyOS和EMUI授權(quán)問題漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI是華為公司開發(fā)的一種基于Android操作系統(tǒng)的用戶界面。Huawei HarmonyOS和EMUI存在授權(quán)問題漏洞,該漏洞源于窗口管理模塊存在權(quán)限校驗不嚴(yán)格。攻擊者可利用此漏洞導(dǎo)致功能異常運行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84323
3、云南鏈滴科技有限公司思源筆記軟件Web應(yīng)用存在XSS漏洞
思源筆記軟件Web應(yīng)用是一款隱私優(yōu)先的個人知識管理系統(tǒng),支持完全離線使用,同時也支持端到端加密同步。云南鏈滴科技有限公司思源筆記軟件Web應(yīng)用存在XSS漏洞,攻擊者可利用該漏洞獲取用戶cookie等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-83033
4、易思智能物流無人值守系統(tǒng)存在任意文件讀取漏洞
易思智能物流無人值守系統(tǒng)是針對流程生產(chǎn)企業(yè)原料采購、產(chǎn)成品銷售及廠內(nèi)物流的統(tǒng)一管控智能信息化平臺。易思智能物流無人值守系統(tǒng)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-82960
5、D-Link DAR-7000 importexport.php文件SQL注入漏洞
D-Link DAR-7000是中國友訊(D-Link)公司的一款上網(wǎng)行為審計網(wǎng)關(guān)。D-Link DAR-7000 importexport.php文件存在SQL注入漏洞。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85603
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺