您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231218-20231224)
一、境外廠商產(chǎn)品漏洞
1、Fortinet FortiADC緩沖區(qū)溢出漏洞
Fortinet FortiADC是美國飛塔(Fortinet)公司的一款應(yīng)用交付控制器。Fortinet FortiADC存在緩沖區(qū)溢出漏洞,該漏洞源于應(yīng)用在處理不受信任的輸入時出現(xiàn)邊界錯誤。攻擊者可利用該漏洞通過特制的CLI請求執(zhí)行任意代碼或命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98180
2、Adobe Dimension越界讀取漏洞(CNVD-2023-98217)
Adobe Dimension是美國奧多比(Adobe)公司的是一套2D和3D合成設(shè)計工具。Adobe Dimension 3.4.10及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞導(dǎo)致敏感內(nèi)存泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98217
3、Dell NetWorker加密問題漏洞
Dell NetWorker是美國戴爾(Dell)公司的一個應(yīng)用程序。提供戴爾公司的論壇討論功能。Dell NetWorker Virtual Edition 19.8及之前版本存在加密問題漏洞,該漏洞源于SSH組件使用了不推薦的加密算法,攻擊者可利用該漏洞導(dǎo)致信息泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99335
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-99431)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager 6.5.18版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99431
5、NETGEAR WNR2000命令執(zhí)行漏洞
NETGEAR WNR2000是美國網(wǎng)件(NETGEAR)公司的一款無線路由器。NETGEAR WNR2000 v4 1.0.0.70版本存在命令執(zhí)行漏洞,該漏洞源于應(yīng)用未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99028
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei HarmonyOS DFR模塊授權(quán)問題漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在授權(quán)問題漏洞,該漏洞源于DFR模塊存在接口無權(quán)限校驗。攻擊者可利用該漏洞導(dǎo)致機密性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98179
2、Tenda W30E formResetMeshNode函數(shù)緩沖區(qū)溢出漏洞
Tenda W30E是中國騰達(Tenda)公司的一款路由器。Tenda W30E V16.01.0.12(4843)版本存在緩沖區(qū)溢出漏洞,該漏洞源于函數(shù)formResetMeshNode未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98195
3、LMXCMS SQL注入漏洞(CNVD-2023-98192)
lmxcms(夢想cms)是中國夢想cms(lmxcms)公司的一個建站系統(tǒng)。LMXCMS v1.4版本存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞通過TagsAction.class執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98192
4、Tenda AC10 compare_parentcontrol_time函數(shù)緩沖區(qū)溢出漏洞
Tenda AC10是中國騰達(Tenda)公司的一款無線路由器。Tenda AC10 US_AC10V4.0si_V16.03.10.13_cn版本存在緩沖區(qū)溢出漏洞,該漏洞源于compare_parentcontrol_time函數(shù)的time參數(shù)未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98204
5、ZTE MF286R命令注入漏洞(CNVD-2023-99925)
ZTE MF286R是中國中興通訊(ZTE)公司的一款無線路由器。ZTE MF286R CR_LVWRGBMF286RV1.0.0B04版本存在命令注入漏洞,該漏洞源于應(yīng)用未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99925
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺