您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231211-20231217)
一、境外廠商產(chǎn)品漏洞
1、Linux kernel nft_dynset_init函數(shù)拒絕服務(wù)漏洞
Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在拒絕服務(wù)漏洞,該漏洞源于函數(shù)nft_dynset_init存在空指針取消引用問題。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97693
2、Dell DM5500權(quán)限提升漏洞
Dell DM5500是美國戴爾(Dell)公司的一款集成解決方案。提供業(yè)界領(lǐng)先的重復(fù)數(shù)據(jù)刪除、數(shù)據(jù)保護(hù)解決方案和多云功能。Dell DM5500存在權(quán)限提升漏洞,攻擊者可利用該漏洞可以逃脫受限shell并獲得設(shè)備的root訪問權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-96703
3、Google Android權(quán)限提升漏洞(CNVD-2023-96684)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞源于藍(lán)牙中的堆緩沖區(qū)溢出,攻擊者可利用該漏洞導(dǎo)致權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-96684
4、Dell DM5500路徑遍歷漏洞
Dell DM5500是美國戴爾(Dell)公司的一款集成解決方案。提供業(yè)界領(lǐng)先的重復(fù)數(shù)據(jù)刪除、數(shù)據(jù)保護(hù)解決方案和多云功能。Dell DM5500存在路徑遍歷漏洞,該漏洞源于PPOE組件中未能正確地過濾資源或文件路徑中的特殊元素,攻擊者可利用該漏洞覆蓋服務(wù)器文件系統(tǒng)上存儲(chǔ)的文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-96706
5、Siemens SCALANCE M-800/S615系列操作系統(tǒng)命令注入漏洞
SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224都是工業(yè)路由器。Siemens SCALANCE M-800/S615系列存在操作系統(tǒng)命令注入漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97258
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda W30E formAdvancedSetListSet函數(shù)緩沖區(qū)溢出漏洞
Tenda W30E是中國騰達(dá)(Tenda)公司的一款路由器。Tenda W30E V16.01.0.12(4843)版本存在緩沖區(qū)溢出漏洞,該漏洞源于函數(shù)formAdvancedSetListSet未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98052
2、達(dá)夢(mèng)新云緩存數(shù)據(jù)庫存在拒絕服務(wù)漏洞(CNVD-2023-94386)
達(dá)夢(mèng)新云緩存數(shù)據(jù)庫(DMCDM)是自主研發(fā)的深度兼容原生Redis的Key-Value數(shù)據(jù)庫。達(dá)夢(mèng)新云緩存數(shù)據(jù)庫存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-94386
3、她理財(cái)APP存在邏輯缺陷漏洞(CNVD-2023-94870)
她理財(cái)APP是一款安全靠譜的手機(jī)理財(cái)軟件。她理財(cái)APP存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-94870
4、浙江大華技術(shù)股份有限公司icc智能物聯(lián)綜合管理平臺(tái)存在任意文件讀取漏洞
浙江大華技術(shù)股份有限公司是領(lǐng)先的監(jiān)控產(chǎn)品供應(yīng)商和解決方案服務(wù)商。浙江大華技術(shù)股份有限公司icc智能物聯(lián)綜合管理平臺(tái)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-94428
5、Tenda AX9 /goform/setMacFilterCfg接口緩沖區(qū)溢出漏洞
Tenda AX9是中國騰達(dá)(Tenda)公司的一款Wi-Fi 6路由器。Tenda AX9 V22.03.01.46版本存在緩沖區(qū)溢出漏洞,該漏洞源于/goform/setMacFilterCfg的“deviceList”參數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98045
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)