您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20231009-20231015)
一、境外廠商產品漏洞
1、Siemens Simcenter Amesim遠程代碼執(zhí)行漏洞
Simcenter Amesim是一個集成的、可擴展的系統(tǒng)仿真平臺,允許系統(tǒng)仿真工程師虛擬評估和優(yōu)化機電系統(tǒng)的性能。Siemens Simcenter Amesim存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在受影響應用程序進程的上下文中執(zhí)行DLL注入和執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75588
2、Siemens SINEC NMS權限分配不正確漏洞
Siemens SINEC NMS是德國西門子(Siemens)公司的一個網絡管理系統(tǒng) (NMS),該系統(tǒng)可用于全天候集中監(jiān)控、管理和配置具有數萬臺設備的工業(yè)網絡,包括與安全相關的領域。Siemens SINEC NMS存在權限分配不正確漏洞,該漏洞是由于受影響的應用程序為包含可執(zhí)行文件和庫的特定文件夾分配了不正確的訪問權限。攻擊者可利用該漏洞注入任意代碼并提升權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75591
3、Google Android權限提升漏洞(CNVD-2023-75536)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在權限提升漏洞,攻擊者可利用此漏洞在系統(tǒng)上獲得提升的權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75536
4、Google Android拒絕服務漏洞(CNVD-2023-75538)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在拒絕服務漏洞,攻擊者可利用此漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75538
5、Mozilla Firefox資源操作不當漏洞
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在資源操作不當漏洞,該漏洞源于瀏覽器處理XSL文檔的方式。攻擊者可利用該漏洞欺騙受害者加載一個特別設計的XSL文檔,該文檔可以在同源策略的范圍內繼續(xù)執(zhí)行JavaScript,即使在瀏覽器選項卡關閉之后。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75348
二、境內廠商產品漏洞
1、浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞
浙江大華技術股份有限公司,是全球領先的以視頻為核心的智慧物聯解決方案提供商和運營服務商。浙江大華技術股份有限公司智慧園區(qū)綜合管理平臺存在SQL注入漏洞,攻擊者可以利用漏洞獲取數據庫配置信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71714
2、QQ音樂存在命令執(zhí)行漏洞
QQ音樂是騰訊官方推出的音樂播放軟件。QQ音樂存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71686
3、用友網絡科技股份有限公司NC Cloud存在遠程命令執(zhí)行漏洞
NC Cloud是一款大型企業(yè)數字化平臺,深度應用新一代數字智能技術,完全基于云原生架構,打造開放、互聯、融合、智能的一體化云平臺。用友網絡科技股份有限公司NC Cloud存在遠程命令執(zhí)行漏洞,攻擊者可利用漏洞通過構造惡意請求繞過校驗進行遠程命令執(zhí)行,從而獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71023
4、珠海金山辦公軟件有限公司WPS Windows版存在命令執(zhí)行漏洞
WPS是一款辦公軟件。珠海金山辦公軟件有限公司WPS Windows版存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71685
5、科大訊飛股份有限公司API網關管理系統(tǒng)存在信息泄露漏洞
科大訊飛股份有限公司成立于1999年,是亞太地區(qū)知名的智能語音和人工智能上市企業(yè)。科大訊飛股份有限公司API網關管理系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43434
說明:關注度分析由CNVD根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺