您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231225-20231231)
一、境外廠商產(chǎn)品漏洞
1、SAP PowerDesigner輸入驗證錯誤漏洞
SAP PowerDesigner是德國思愛普(SAP)公司的一款數(shù)據(jù)庫設(shè)計軟件。SAP PowerDesigner 16.7版本存在輸入驗證錯誤漏洞,該漏洞源于無法充分驗證從不受信任的來源導入的BPMN2 XML文檔。攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-100010
2、Microsoft Dynamics 365(on-premises)跨站腳本漏洞(CNVD-2023-101676)
Microsoft Dynamics 365是美國微軟(Microsoft)公司的一套適用于跨國企業(yè)的ERP業(yè)務解決方案。該產(chǎn)品包括財務管理、生產(chǎn)管理和商業(yè)智能管理等。Microsoft Dynamics 365(on-premises)存在跨站腳本漏洞,攻擊者可利用此漏洞竊取受害者基于cookie的身份驗證憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101676
3、SAP BusinessObjects Business Intelligence Platform跨站腳本漏洞(CNVD-2023-100007)
SAP Business Objects是德國思愛普(SAP)公司的一個商業(yè)智能套件。SAP BusinessObjects Business Intelligence Platform 420版本430版本存在跨站腳本漏洞,該漏洞源于應用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞可以在系統(tǒng)中上傳不可知的文檔。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-100007
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-101466)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager 6.5.18版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101466
5、Microsoft Visual Studio權(quán)限提升漏洞(CNVD-2023-101686)
Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個基本完整的開發(fā)工具集,它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在權(quán)限漏洞。攻擊者可利用此漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101686
二、境內(nèi)廠商產(chǎn)品漏洞
1、四創(chuàng)科技有限公司綜合管理系統(tǒng)存在SQL注入漏洞
四創(chuàng)科技有限公司是一家經(jīng)營范圍包括電子計算機軟硬件技術(shù)與產(chǎn)品的研發(fā)、生產(chǎn)、銷售等的公司。四創(chuàng)科技有限公司綜合管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97900
2、太原易思軟件技術(shù)有限公司智能物流無人值守系統(tǒng)存在SQL注入漏洞(CNVD-2023-99600)
智能物流無人值守系統(tǒng)是針對流程生產(chǎn)企業(yè)原料采購、產(chǎn)成品銷售及廠內(nèi)物流的統(tǒng)一管控智能信息化平臺。太原易思軟件技術(shù)有限公司智能物流無人值守系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99600
3、智石開工業(yè)軟件有限公司PLM存在SQL注入漏洞
智石開工業(yè)軟件有限公司是一家以從事軟件和信息技術(shù)服務業(yè)為主的企業(yè)。智石開工業(yè)軟件有限公司PLM存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99241
4、銳捷EG2000UE存在信息泄露漏洞(CNVD-2023-97847)
北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司是一家擁有包括交換機、路由器、軟件、安全防火墻、無線產(chǎn)品、存儲等全系列的網(wǎng)絡(luò)設(shè)備產(chǎn)品線及解決方案的專業(yè)化網(wǎng)絡(luò)廠商。銳捷EG2000UE存在信息泄露漏洞,攻擊者可利用該漏洞獲取服務器敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97847
5、TOTOLINK A7100RU緩沖區(qū)溢出漏洞(CNVD-2023-101089)
TOTOLINK A7100RU是中國吉翁電子(TOTOLINK)公司的一款無線路由器。TOTOLINK A7100RU V7.4cu.2313_B20191024版本存在緩沖區(qū)溢出漏洞,該漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的參數(shù)flag未能正確驗證輸入數(shù)據(jù)的長度大小,遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101089
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺