您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20230612-20230618)
一、境外廠商產品漏洞
1、Google Chrome類型混肴漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome 114.0.5735.110之前版本存在類型混肴漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或導致應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-46107
2、Siemens Mendix SAML身份驗證繞過漏洞
Mendix SAML module允許您在云應用程序中使用SAML對用戶進行身份驗證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供程序通信。Siemens Mendix SAML存在身份驗證繞過漏洞,攻擊者可利用該漏洞繞過身份驗證并訪問應用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48547
3、Siemens SIMATIC STEP 7 V5遠程代碼執(zhí)行漏洞
SIMATIC PCS 7是一個集散控制系統(tǒng)(DCS),集成了SIMATIC WinCC、SIMATIC Batch、SIMATIC Route control、OpenPCS 7等組件。SIMATIC S7-PM是SIMATIC STEP 7 V5.7的一個選項包,它提供了在項目范圍內分配消息號的可能性。SIMATIC STEP 7 V5是SIMATIC S7-300/S7-400/C7/WinAC控制器配置和編程的經典工程軟件。Siemens SIMATIC STEP 7 V5存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在數據庫管理系統(tǒng)的服務器中以提升的特權運行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48548
4、Linux kernel資源管理錯誤漏洞(CNVD-2023-48540)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。Linux kernel存在資源管理錯誤漏洞,該漏洞源于在并發(fā)iptables規(guī)則替換期間每個CPU序列計數被錯誤處理,導致在數據包處理上下文中可能存在釋放后重用。攻擊者可利用該漏洞造成拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48540
5、Google Chrome Swiftshader組件越界寫入漏洞
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome Swiftshader組件存在越界寫入漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼或導致應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-46120
二、境內廠商產品漏洞
1、暢捷通T+遠程命令執(zhí)行漏洞
暢捷通T+是一款基于互聯網的新型企業(yè)管理軟件。暢捷通T+存在遠程命令執(zhí)行漏洞,攻擊者可利用該漏洞在目標服務器上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-48562
2、廣州粵建三和軟件股份有限公司混凝土質量追蹤及動態(tài)監(jiān)管系統(tǒng)存在未授權訪問漏洞
廣州粵建三和軟件股份有限公司始創(chuàng)于1995年,是國內領先的行業(yè)信息化解決方案專家,主要從事“城市建設與管理”類軟件的研發(fā)、銷售和服務工作。廣州粵建三和軟件股份有限公司混凝土質量追蹤及動態(tài)監(jiān)管系統(tǒng)存在未授權訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19794
3、飛轉電子書閱讀器Windows客戶端存在xss漏洞
飛轉電子書閱讀器是一款功能強大的電子書閱讀和管理工具。飛轉電子書閱讀器Windows客戶端存在xss漏洞,攻擊者可利用該漏洞獲取用戶cookie信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37817
4、TP-Link Archer VR1600V命令注入漏洞
來源:CNVD漏洞平臺
TP-Link Archer VR1600V是中國普聯(TP-LINK)公司的一款無線調制解調器。TP-Link Archer VR1600V存在命令注入漏洞,該漏洞源于應用未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞導致管理員身份打開操作系統(tǒng)的shell。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-49482
5、EyouCMS跨站腳本漏洞(CNVD-2023-49807)
EyouCms是海南贊贊網絡科技有限公司的一套基于ThinkPHP的開源內容管理系統(tǒng)(CMS)。EyouCMS 1.6.2版本存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意的JavaScript腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-49807
說明:關注度分析由CNVD根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺