您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230417-20230423)
一、境外廠商產(chǎn)品漏洞
1、ZOHO ManageEngine ADManager Plus遠(yuǎn)程命令漏洞
ZOHO ManageEngine ADManager Plus是美國(guó)卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設(shè)計(jì)的微軟活動(dòng)目錄管理軟件。ZOHO ManageEngine ADManager Plus存在遠(yuǎn)程命令漏洞,攻擊者利用該漏洞通過(guò)代理設(shè)置執(zhí)行命令注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28754
2、SAP NetWeaver跨站腳本漏洞(CNVD-2023-28125)
SAP NetWeaver是德國(guó)思愛(ài)普(SAP)公司的一套面向服務(wù)的集成化應(yīng)用平臺(tái)。該平臺(tái)主要為SAP應(yīng)用程序提供開(kāi)發(fā)和運(yùn)行環(huán)境。SAP NetWeaver存在跨站腳本漏洞,該漏洞源于用戶輸入的編碼不足,攻擊者可以利用該漏洞注入暴露敏感數(shù)據(jù)(如用戶 ID 和密碼)的代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28125
3、Siemens SICAM A8000命令注入漏洞
Siemens SICAM A8000是德國(guó)西門(mén)子(Siemens)公司的一款用于繼電保護(hù)與變電站環(huán)境的保護(hù)與間隔控制單元設(shè)備。Siemens SICAM A8000存在命令注入漏洞。該漏洞源于設(shè)備未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞在設(shè)備上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29699
4、SAP NetWeaver AS Java授權(quán)問(wèn)題漏洞(CNVD-2023-28121)
SAP NetWeaver AS Java是德國(guó)思愛(ài)普(SAP)公司的一款提供了Java運(yùn)行環(huán)境的應(yīng)用程序服務(wù)器。該產(chǎn)品主要用于開(kāi)發(fā)和運(yùn)行Java EE應(yīng)用程序。SAP NetWeaver AS Java 7.50版本存在授權(quán)問(wèn)題漏洞,該漏洞源于未執(zhí)行必要的授權(quán)檢查。攻擊者可利用該漏洞連接到開(kāi)放端口,利用開(kāi)放命名和目錄API訪問(wèn)服務(wù)器數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28121
5、Microsoft Visual Studio欺騙漏洞(CNVD-2023-29698)
Microsoft Visual Studio是美國(guó)微軟(Microsoft)公司的一款開(kāi)發(fā)工具套件系列產(chǎn)品,也是一個(gè)基本完整的開(kāi)發(fā)工具集,它包括了整個(gè)軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在欺騙漏洞,攻擊者可借助特制網(wǎng)站利用該漏洞欺騙內(nèi)容并誘導(dǎo)用戶相信該網(wǎng)站的合法性,同時(shí)結(jié)合網(wǎng)頁(yè)服務(wù)中的其他漏洞發(fā)起攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29698
二、境內(nèi)廠商產(chǎn)品漏洞
1、D-Link DIR-3040命令注入漏洞
D-Link DIR-3040是中國(guó)友訊(D-Link)公司的一個(gè)路由器。提供連接網(wǎng)絡(luò)的功能。D-Link DIR-3040存在命令注入漏洞,該漏洞源于SetTriggerLEDBlink函數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28115
2、TOTOLINK A3002MU存在命令執(zhí)行漏洞
A3002MU是一款路由器。TOTOLINK A3002MU存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29051
3、D-Link DIR820LA1命令注入漏洞
D-Link DIR820LA1是中國(guó)友訊(D-Link)公司的一款路由器。D-Link DIR820LA1存在命令注入漏洞,攻擊者可利用該漏洞通過(guò)設(shè)計(jì)有效載荷將權(quán)限提升至root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28114
4、TOTOLINK T8存在二進(jìn)制漏洞(CNVD-2023-30415)
TOTOLINK T8是一款無(wú)線雙頻路由器。TOTOLINK T8存在二進(jìn)制漏洞,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30415
5、D-Link DVG-G5402SP訪問(wèn)控制錯(cuò)誤漏洞
D-Link DVG-G5402SP是中國(guó)友訊(D-Link)公司的一款無(wú)線路由器。D-Link DVG-G5402SP存在訪問(wèn)控制錯(cuò)誤漏洞,未經(jīng)身份認(rèn)證的攻擊者可利用該漏洞通過(guò)編輯任意VoIP SIB文件實(shí)現(xiàn)提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28116
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)