您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230313-20230319)
一、境外廠商產(chǎn)品漏洞
1、Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-17042)
Siretta QUARTZ-GOLD是Siretta公司的一款高速工業(yè)路由器。Siretta QUARTZ-GOLD G5.0.1.5-210720-141020版本存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17042
2、Adobe Photoshop越界讀取漏洞(CNVD-2023-17045)
Adobe Photoshop是美國(guó)奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Photoshop存在越界讀取漏洞,該漏洞源于對(duì)用戶提供的數(shù)據(jù)缺乏適當(dāng)?shù)尿?yàn)證,特制數(shù)據(jù)可能會(huì)觸發(fā)超過(guò)分配緩沖區(qū)末尾的讀取。攻擊者可利用該漏洞敏感內(nèi)存泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17045
3、Siemens RUGGEDCOM CROSSBOW訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2023-17662)
RUGGEDCOM CROSSBOW是一個(gè)安全的訪問(wèn)管理解決方案,旨在為智能電子設(shè)備提供符合NERC CIP的訪問(wèn)。Siemens RUGGEDCOM CROSSBOW存在訪問(wèn)控制錯(cuò)誤漏洞,該漏洞源于受影響應(yīng)用程序的客戶端查詢處理程序在將組分配給用戶帳戶時(shí)未能檢查適當(dāng)?shù)臋?quán)限,攻擊者可利用該漏洞將管理組分配給其他無(wú)特權(quán)的用戶帳戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17662
4、Google Chrome DevTools資源管理錯(cuò)誤漏洞(CNVD-2023-17525)
Google Chrome是美國(guó)谷歌(Google)公司的一款Web瀏覽器。Google Chrome 111.0.5563.64之前版本存在安全漏洞,該漏洞源于DevTools組件負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂。遠(yuǎn)程攻擊者可利用該漏洞通過(guò)精心設(shè)計(jì)的HTML頁(yè)面導(dǎo)致堆損壞。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17525
5、Siretta QUARTZ-GOLD緩沖區(qū)溢出漏洞(CNVD-2023-17070)
Siretta QUARTZ-GOLD是一款具有多種功能和服務(wù)的工業(yè)路由器。Siretta QUARTZ-GOLD存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過(guò)發(fā)送特制的網(wǎng)絡(luò)數(shù)據(jù)包導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17070
二、境內(nèi)廠商產(chǎn)品漏洞
1、易居房產(chǎn)系統(tǒng)后臺(tái)管理存在邏輯缺陷漏洞
海南易而優(yōu)科技有限公司是一家經(jīng)營(yíng)范圍包括:互聯(lián)網(wǎng)數(shù)據(jù)服務(wù),網(wǎng)絡(luò)與信息安全軟件開發(fā),軟件和信息技術(shù)服務(wù)業(yè),軟件開發(fā),信息技術(shù)咨詢服務(wù),信息處理和存儲(chǔ)支持服務(wù),應(yīng)用軟件開發(fā)等的公司。易居房產(chǎn)系統(tǒng)后臺(tái)管理存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05214
2、Advantech iView SQL注入漏洞(CNVD-2023-16473)
Advantech Iview是中國(guó)Advantech公司的一個(gè)基于簡(jiǎn)單網(wǎng)絡(luò)協(xié)議(SNMP)來(lái)對(duì)B + B SmartWorx設(shè)備進(jìn)行管理的軟件。Advantech iView存在SQL注入漏洞,該漏洞源于SQL命令中使用的特殊元素的不當(dāng)中和。未經(jīng)授權(quán)的攻擊者可利用該漏洞泄露信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-16473
3、D-Link DIR-605L緩沖區(qū)溢出漏洞(CNVD-2023-17669)
D-Link DIR-605L是中國(guó)D-Link公司的一款無(wú)線路由器。D-Link DIR-605L存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行或服務(wù)中斷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17669
4、TP-Link Archer AX21 AX1800命令注入漏洞
TP-Link Archer AX21 AX1800是一款TP-Link的WIFI6路由器。TP-Link Archer AX21 AX1800存在命令注入漏洞,該漏洞源于未對(duì)用戶輸入進(jìn)行過(guò)濾,攻擊者可利用該漏洞構(gòu)造惡意請(qǐng)求從而執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17902
5、D-Link DIR-605L緩沖區(qū)溢出漏洞(CNVD-2023-17668)
D-Link DIR-605L是中國(guó)D-Link公司的一款無(wú)線路由器。D-Link DIR-605L存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導(dǎo)致遠(yuǎn)程代碼執(zhí)行或服務(wù)中斷。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-17668
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)