您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231113-20231119)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Office Visio遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-85905)
Microsoft Office Visio是美國微軟(Microsoft)公司的Office軟件系列中的負(fù)責(zé)繪制流程圖和示意圖的軟件。Microsoft Office Visio存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85905
2、Apache Airflow代碼執(zhí)行漏洞
Apache Airflow是美國阿帕奇(Apache)基金會的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開源平臺。該平臺具有可擴(kuò)展和動態(tài)監(jiān)控等特點。Apache Airflow HDFS Provider存在代碼執(zhí)行漏洞,該漏洞源于文檔信息指示用戶安裝了錯誤的pip軟件包,該包名稱無人認(rèn)領(lǐng),攻擊者可利用該漏洞造成任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85613
3、Siemens COMOS訪問控制錯誤漏洞
COMOS是一個用于協(xié)同工廠設(shè)計、運營和管理的統(tǒng)一數(shù)據(jù)平臺,支持在整個工廠生命周期內(nèi)收集、處理、保存和分發(fā)信息。Siemens COMOS存在訪問控制錯誤漏洞,攻擊者可利用該漏洞訪問用戶無訪問權(quán)限的文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86340
4、Microsoft Office Visio遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-85902)
Microsoft Office Visio是美國微軟(Microsoft)公司的Office軟件系列中的負(fù)責(zé)繪制流程圖和示意圖的軟件。Microsoft Office Visio存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85902
5、Cisco Finesse拒絕服務(wù)漏洞
Cisco Finesse是美國思科(Cisco)公司的一套呼叫中心管理軟件。Cisco Finesse存在拒絕服務(wù)漏洞,該漏洞源于反向代理不正確的IP地址過濾,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)(DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85956
二、境內(nèi)廠商產(chǎn)品漏洞
1、達(dá)夢企業(yè)管理器存在邏輯缺陷漏洞
達(dá)夢企業(yè)管理器是一個通過Web界面來監(jiān)控、管理并維護(hù)DM數(shù)據(jù)庫的集中式管理平臺。達(dá)夢企業(yè)管理器存在邏輯缺陷漏洞,攻擊者可利用該漏洞刪除任意操作系統(tǒng)文件,導(dǎo)致系統(tǒng)不可用。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-83023
2、IceCMS跨站請求偽造漏洞
IceCMS是一個基于Spring Boot + Vue前后端分離的內(nèi)容管理系統(tǒng)。IceCMS v2.0.1版本存在跨站請求偽造漏洞,該漏洞源于WEB應(yīng)用未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執(zhí)行敏感操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86329
3、達(dá)夢企業(yè)管理器(DEM)存在命令執(zhí)行漏洞(CNVD-2023-69447)
達(dá)夢企業(yè)管理器(DEM)是一個通過Web界面來監(jiān)控、管理并維護(hù)DM數(shù)據(jù)庫的集中式管理平臺。達(dá)夢企業(yè)管理器(DEM)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69447
4、gougucms跨站腳本漏洞
gougucms是中國勾股開源開源的一套基于ThinkPHP6 + Layui + MySql打造的輕量級的通用后臺管理框架。gougucms v4.08.18版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過headimgurl參數(shù)注入精心設(shè)計的有效負(fù)載,執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86333
5、Jspxcms跨站腳本漏洞
Jspxcms是一套可擴(kuò)展的企業(yè)級開源網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。Jspxcms v10.2.0版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86330
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺