(20230109-20230115)

一、境外廠商產(chǎn)品漏洞

1、ZOHO ManageEngine ADManager Plus存在命令執(zhí)行漏洞

ZOHO ManageEngine ADManager Plus是美國卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設計的微軟活動目錄管理軟件。該軟件能夠協(xié)助AD管理員和幫助臺技術人員進行日常管理工作，例如批量管理用戶帳戶和AD對象、給幫助臺技術員指派基于角色的訪問權限等。ZOHO ManageEngine ADManager Plus 7.1之前版本存在安全漏洞。經(jīng)過身份驗證的攻擊者可利用該漏洞在代理設置中執(zhí)行命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02270

2、Apache Kylin命令注入漏洞

Apache Kylin是美國阿帕奇(Apache)基金會的一款開源的分布式分析型數(shù)據(jù)倉庫。該產(chǎn)品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能。Kylin存在命令注入漏洞，該漏洞源于黑名單存在被繞過的風險，攻擊者利用該漏洞可以通過控制conf的kylin.engine.spark-cmd參數(shù)來控制命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02475

3、Mozilla Firefox緩沖區(qū)溢出漏洞(CNVD-2023-03064)

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在緩沖區(qū)溢出漏洞，該漏洞源于意外的WebAuthN擴展導致內(nèi)存寫入越界。未認證的攻擊者可利用該漏洞執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064

4、Apache Traffic Server異常情況處理錯誤漏洞

Apache Traffic Server(ATS)是美國阿帕奇(Apache)基金會的一套可擴展的HTTP代理和緩存服務器。Apache Traffic Server存在異常情況處理錯誤漏洞。攻擊者可利用該漏洞在特定條件下導致服務器崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02476

5、Mozilla Firefox注入漏洞(CNVD-2023-03055)

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在注入漏洞，該漏洞源于未能執(zhí)行Unsafe-Hashes CSP指令。攻擊者可利用該漏洞注入可執(zhí)行腳本。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-03055

二、境內(nèi)廠商產(chǎn)品漏洞

1、金電網(wǎng)安可信運維管理系統(tǒng)存在命令執(zhí)行漏洞

金電網(wǎng)安可信運維管理系統(tǒng)提供專業(yè)的“人機”交互運維平臺和專業(yè)的“人機”交付解決方案。金電網(wǎng)安可信運維管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意系統(tǒng)命令，獲取系統(tǒng)最高權限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-90048

2、Tenda A15 security_5g參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(Tenda)公司的一款WiFi擴展器。Tenda A15 security_5g參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的security_5g參數(shù)對輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02257

3、華天動力OA系統(tǒng)存在任意文件下載漏洞

華天動力OA系統(tǒng)是由大連華天軟件有限公司開發(fā)的協(xié)同辦公軟件。華天動力OA系統(tǒng)存在任意文件下載漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-91045

4、Tenda A15 security參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(Tenda)公司的一款WiFi擴展器。Tenda A15 security參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的security參數(shù)對輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02258

5、Tenda A15 wepkey參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(Tenda)公司的一款WiFi擴展器。Tenda A15 wepkey參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的wepkey參數(shù)對輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02256

說明：關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。

來源： CNVD漏洞平臺