您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230515-20230521)
一、境外廠商產(chǎn)品漏洞
1、Adobe Substance 3D Stager緩沖區(qū)溢出漏洞(CNVD-2023-37602)
Adobe Substance 3D Stager是美國奧多比(Adobe)公司的一個虛擬3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37602
2、Schneider Electric IGSS Data Server緩沖區(qū)溢出漏洞(CNVD-2023-38194)
Schneider Electric Igss Data Server是法國施耐德電氣(Schneider Electric)公司的一個交互式圖形Scada系統(tǒng)的數(shù)據(jù)服務(wù)器。Schneider Electric IGSS Data Server 15.0.0.22140之前版本存在緩沖區(qū)溢出漏洞,該漏洞源于在處理未受信任的輸入時出現(xiàn)邊界錯誤,攻擊者可利用該漏洞發(fā)送特制的時間縮短數(shù)據(jù)消息,導致內(nèi)存損壞并在目標系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-38194
3、IBM WebSphere Application Server跨站腳本漏洞(CNVD-2023-37168)
IBM WebSphere Application Server是一款應(yīng)用服務(wù)器產(chǎn)品。該產(chǎn)品是JavaEE和Web服務(wù)應(yīng)用程序的平臺,也是IBM WebSphere軟件平臺的基礎(chǔ)。IBM WebSphere Application Server存在跨站腳本漏洞。該漏洞允許用戶在Web UI中嵌入任意JavaScript代碼,從而改變預(yù)期的功能,可能導致可信會話中的憑據(jù)泄露。攻擊者可利用該漏洞對目標有針對性的發(fā)起攻擊,危害站點系統(tǒng)安全。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37168
4、Schneider Electric StruxureWare Data Center Expert訪問控制錯誤漏洞(CNVD-2023-37594)
Schneider Electric StruxureWare Data Center Expert是法國施耐德電氣(Schneider Electric)公司的一種監(jiān)控軟件。適用于各種組織監(jiān)控其全公司范圍內(nèi)的電力、制冷、安全、環(huán)境。Schneider Electric StruxureWare Data Center Expert 7.9.2及之前版本存在訪問控制錯誤漏洞,攻擊者可利用該漏洞導致遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37594
5、Adobe Substance 3D Stager越界讀取漏洞(CNVD-2023-37605)
Adobe Substance 3D Stager是美國奧多比(Adobe)公司的一個虛擬3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37605
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei EMUI和HarmonyOS信息泄露漏洞
Huawei EMUI是一款基于Android開發(fā)的移動端操作系統(tǒng)。Huawei HarmonyOS是提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei EMUI和HarmonyOS存在信息泄露漏洞,該漏洞是由于內(nèi)存管理模塊中的邏輯繞過引起的。攻擊者可利用此漏洞訪問未經(jīng)授權(quán)的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-38962
2、D-Link DIR-605L堆棧緩沖區(qū)溢出漏洞
D-Link DIR-605L是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-605L 1.17B01 BETA版本存在堆棧緩沖區(qū)溢出漏洞,該漏洞是由于/goform/formTcpipSetup不正確的邊界檢查引起的。攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼,或者導致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39044
3、ZTE Zxhn F677目錄遍歷漏洞
ZTE Zxhn F677是中國中興(ZTE)公司的一款雙頻無線路由器。ZTE Zxhn F677 9.0.0p1n29之前版本存在目錄遍歷漏洞。該漏洞源于缺乏對用戶修改的目的路徑的驗證,攻擊者可利用漏洞修改FTP訪問路徑進行訪問,并在未經(jīng)授權(quán)的情況下修改系統(tǒng)路徑內(nèi)容,從而造成信息泄露,影響設(shè)備運行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39043
4、Huawei BiSheng-WNM FW拒絕服務(wù)漏洞
Huawei BiSheng-WNM FW是中國華為(Huawei)公司的一款華為打印機。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒絕服務(wù)漏洞,攻擊者利用該漏洞導致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39041
5、ZTE MF297D信息泄露漏洞
ZTE MF297D是中國中興(ZTE)公司的一款4G無線路由器。ZTE MF297D存在信息泄露漏洞,該漏洞源于存在密碼問題漏洞。攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-39042
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺