您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231120-20231126)
一、境外廠(chǎng)商產(chǎn)品漏洞
1、Adobe Audition越界讀取漏洞(CNVD-2023-88380)
Adobe Audition是美國(guó)奧多比(Adobe)公司的一套多音軌編輯工具。該產(chǎn)品主要使用包含多音軌、波形和光譜顯示的完善工具集對(duì)音頻內(nèi)容進(jìn)行混音、編輯和創(chuàng)建等。Adobe Audition 24.0版本及之前和23.6.1版本及之前存在越界讀取漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-88380
2、IBM InfoSphere Information Server CSV注入漏洞(CNVD-2023-91222)
IBM InfoSphere Information Server是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在CSV注入漏洞,該漏洞源于csv文件內(nèi)容驗(yàn)證錯(cuò)誤,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91222
3、Apache Airflow權(quán)限提升漏洞
Apache Airflow是美國(guó)阿帕奇(Apache)基金會(huì)的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開(kāi)源平臺(tái)。該平臺(tái)具有可擴(kuò)展和動(dòng)態(tài)監(jiān)控等特點(diǎn)。Apache Airflow 2.6.0之前版本存在權(quán)限提升漏洞,攻擊者可利用該漏洞獲取更高的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-88038
4、IBM InfoSphere Information Server信息泄露漏洞(CNVD-2023-91225)
IBM InfoSphere Information Server是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在信息泄露漏洞,攻擊者可利用該漏洞使用特制的查詢(xún)來(lái)獲取系統(tǒng)信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91225
5、Apache Airflow AWS Provider信息泄露漏洞
Apache Airflow是美國(guó)阿帕奇(Apache)基金會(huì)的一套用于創(chuàng)建、管理和監(jiān)控工作流程的開(kāi)源平臺(tái)。該平臺(tái)具有可擴(kuò)展和動(dòng)態(tài)監(jiān)控等特點(diǎn)。Apache Airflow AWS Provider 7.2.1之前版本存在信息泄露漏洞,該漏洞源于生成的錯(cuò)誤消息包含敏感信息,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-88044
二、境內(nèi)廠(chǎng)商產(chǎn)品漏洞
1、用友網(wǎng)絡(luò)科技股份有限公司Yonyou UAP/NC存在任意文件下載漏洞
用友創(chuàng)立于1988年,是全球先進(jìn)的企業(yè)與公共組織云服務(wù)、軟件、金融服務(wù)提供商。用友網(wǎng)絡(luò)科技股份有限公司Yonyou UAP/NC存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85136
2、Huawei HarmonyOS和EMUI內(nèi)存錯(cuò)誤引用洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei EMUI是華為公司開(kāi)發(fā)的一種基于A(yíng)ndroid操作系統(tǒng)的用戶(hù)界面。Huawei HarmonyOS和EMUI存在內(nèi)存錯(cuò)誤引用洞。該漏洞是由于dubai模塊中的一個(gè)免費(fèi)使用后缺陷造成的。攻擊者可利用此漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-88966
3、Huawei HarmonyOS和EMUI信息泄露漏洞(CNVD-2023-88962)
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei EMUI是華為公司開(kāi)發(fā)的一種基于A(yíng)ndroid操作系統(tǒng)的用戶(hù)界面。Huawei HarmonyOS和EMUI存在信息泄露漏洞,該漏洞源于卡管理模塊存在未加密存儲(chǔ)漏洞,攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-88962
4、啟明星辰信息技術(shù)集團(tuán)股份有限公司天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在命令執(zhí)行漏洞(CNVD-2023-85472)
天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。啟明星辰信息技術(shù)集團(tuán)股份有限公司天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85472
5、啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)-互聯(lián)網(wǎng)行為管控存在信息泄露漏洞
天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)-互聯(lián)網(wǎng)行為管控(Internet Behavior Manager,簡(jiǎn)稱(chēng)IBM),具備一體化網(wǎng)絡(luò)接入、管控、優(yōu)化、審計(jì)、運(yùn)營(yíng)等功能,是新一代高性能上網(wǎng)行為管理產(chǎn)品。啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)-互聯(lián)網(wǎng)行為管控存在信息泄露漏洞,攻擊者可利用該漏洞獲取密鑰等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91321
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)