您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231225-20231231)
一、境外廠商產(chǎn)品漏洞
1、SAP PowerDesigner輸入驗(yàn)證錯(cuò)誤漏洞
SAP PowerDesigner是德國(guó)思愛(ài)普(SAP)公司的一款數(shù)據(jù)庫(kù)設(shè)計(jì)軟件。SAP PowerDesigner 16.7版本存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于無(wú)法充分驗(yàn)證從不受信任的來(lái)源導(dǎo)入的BPMN2 XML文檔。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-100010
2、Microsoft Dynamics 365(on-premises)跨站腳本漏洞(CNVD-2023-101676)
Microsoft Dynamics 365是美國(guó)微軟(Microsoft)公司的一套適用于跨國(guó)企業(yè)的ERP業(yè)務(wù)解決方案。該產(chǎn)品包括財(cái)務(wù)管理、生產(chǎn)管理和商業(yè)智能管理等。Microsoft Dynamics 365(on-premises)存在跨站腳本漏洞,攻擊者可利用此漏洞竊取受害者基于cookie的身份驗(yàn)證憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101676
3、SAP BusinessObjects Business Intelligence Platform跨站腳本漏洞(CNVD-2023-100007)
SAP Business Objects是德國(guó)思愛(ài)普(SAP)公司的一個(gè)商業(yè)智能套件。SAP BusinessObjects Business Intelligence Platform 420版本430版本存在跨站腳本漏洞,該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義,攻擊者可利用該漏洞可以在系統(tǒng)中上傳不可知的文檔。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-100007
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-101466)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager 6.5.18版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101466
5、Microsoft Visual Studio權(quán)限提升漏洞(CNVD-2023-101686)
Microsoft Visual Studio是美國(guó)微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個(gè)基本完整的開發(fā)工具集,它包括了整個(gè)軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在權(quán)限漏洞。攻擊者可利用此漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101686
二、境內(nèi)廠商產(chǎn)品漏洞
1、四創(chuàng)科技有限公司綜合管理系統(tǒng)存在SQL注入漏洞
四創(chuàng)科技有限公司是一家經(jīng)營(yíng)范圍包括電子計(jì)算機(jī)軟硬件技術(shù)與產(chǎn)品的研發(fā)、生產(chǎn)、銷售等的公司。四創(chuàng)科技有限公司綜合管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97900
2、太原易思軟件技術(shù)有限公司智能物流無(wú)人值守系統(tǒng)存在SQL注入漏洞(CNVD-2023-99600)
智能物流無(wú)人值守系統(tǒng)是針對(duì)流程生產(chǎn)企業(yè)原料采購(gòu)、產(chǎn)成品銷售及廠內(nèi)物流的統(tǒng)一管控智能信息化平臺(tái)。太原易思軟件技術(shù)有限公司智能物流無(wú)人值守系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99600
3、智石開工業(yè)軟件有限公司PLM存在SQL注入漏洞
智石開工業(yè)軟件有限公司是一家以從事軟件和信息技術(shù)服務(wù)業(yè)為主的企業(yè)。智石開工業(yè)軟件有限公司PLM存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99241
4、銳捷EG2000UE存在信息泄露漏洞(CNVD-2023-97847)
北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司是一家擁有包括交換機(jī)、路由器、軟件、安全防火墻、無(wú)線產(chǎn)品、存儲(chǔ)等全系列的網(wǎng)絡(luò)設(shè)備產(chǎn)品線及解決方案的專業(yè)化網(wǎng)絡(luò)廠商。銳捷EG2000UE存在信息泄露漏洞,攻擊者可利用該漏洞獲取服務(wù)器敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-97847
5、TOTOLINK A7100RU緩沖區(qū)溢出漏洞(CNVD-2023-101089)
TOTOLINK A7100RU是中國(guó)吉翁電子(TOTOLINK)公司的一款無(wú)線路由器。TOTOLINK A7100RU V7.4cu.2313_B20191024版本存在緩沖區(qū)溢出漏洞,該漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的參數(shù)flag未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-101089
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)