您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231127-20231203)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Skype for Business遠程代碼執(zhí)行漏洞
Microsoft Skype for Business Server是美國微軟(Microsoft)公司的一套安全統(tǒng)一的通信平臺,它提供即時消息(IM)、音頻和視頻通話、聯(lián)機會議、聯(lián)機狀態(tài)信息和共享功能。Microsoft Skype for Business存在遠程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-92199
2、Apache InLong反序列化漏洞(CNVD-2023-93323)
Apache InLong是美國阿帕奇(Apache)基金會的一站式的海量數(shù)據(jù)集成框架。提供自動化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,攻擊者可利用該漏洞導(dǎo)致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93323
3、Cisco Duo身份驗證錯誤漏洞
Cisco Duo是美國思科(Cisco)公司的一個完全托管的解決方案。提供對您的應(yīng)用程序和數(shù)據(jù)的安全訪問。Cisco Duo Two-Factor Authentication存在身份驗證錯誤漏洞,該漏洞源于在應(yīng)用程序配置為失效開放時不正確地處理來自 Cisco Duo的響應(yīng)所致,經(jīng)過身份驗證的物理攻擊者可利用該漏洞繞過輔助身份驗證訪問macOS設(shè)備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93335
4、Apache Traffic Server輸入驗證錯誤漏洞(CNVD-2023-93321)
Apache Traffic Server(ATS)是美國阿帕奇(Apache)基金會的一套可擴展的HTTP代理和緩存服務(wù)器。Apache Traffic Server存在輸入驗證錯誤漏洞,該漏洞源于HTTP/2幀格式錯誤,容易受到HTTP/2和s3身份驗證插件攻擊。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93321
5、Microsoft Skype for Business遠程代碼執(zhí)行漏洞(CNVD-2023-92200)
Microsoft Skype for Business Server是美國微軟(Microsoft)公司的一套安全統(tǒng)一的通信平臺,它提供即時消息(IM)、音頻和視頻通話、聯(lián)機會議、聯(lián)機狀態(tài)信息和共享功能。Microsoft Skype for Business存在遠程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-92200
二、境內(nèi)廠商產(chǎn)品漏洞
1、啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)存在文件上傳漏洞
天玥網(wǎng)絡(luò)安全審計系統(tǒng)是針對業(yè)務(wù)環(huán)境下用戶對網(wǎng)絡(luò)內(nèi)的核心IT資產(chǎn)和服務(wù)器進行的操作行為進行細粒度審計的合規(guī)性管理系統(tǒng)。啟明星辰天玥網(wǎng)絡(luò)安全審計系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86949
2、用友UAP系統(tǒng)存在信息泄露漏洞
用友網(wǎng)絡(luò)科技股份有限公司是一家全球領(lǐng)先的企業(yè)云服務(wù)與軟件提供商。用友UAP系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91706
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄露漏洞(CNVD-2023-86622)
北京億賽通科技發(fā)展有限責(zé)任公司是國內(nèi)領(lǐng)先的數(shù)據(jù)安全業(yè)務(wù)供應(yīng)商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86622
4、用友U8 Cloud存在命令執(zhí)行漏洞(CNVD-2023-91638)
用友網(wǎng)絡(luò)科技股份有限公司是一家企業(yè)云服務(wù)與軟件提供商。用友U8 Cloud存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91638
5、TomExam跨站腳本漏洞
TomExam是一款免費高效的網(wǎng)絡(luò)考試系統(tǒng)軟件。TomExam 3.0版本存在跨站腳本(XSS)漏洞,攻擊者可利用該漏洞通過p_name參數(shù)傳遞給list.thtml,導(dǎo)致跨站腳本(XSS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93550
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺