您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產(chǎn)品安全漏洞
(20230116-20230129)
一、境外廠商產(chǎn)品漏洞
1、Mozilla Firefox訪問控制錯誤漏洞(CNVD-2023-03068)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在訪問控制錯誤漏洞,該漏洞源于WebDriver中使用的Remote Agent不驗證Host或Origin報頭。攻擊者可利用該漏洞強制瀏覽器在本地連接回用戶的瀏覽器來控制它。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03068
2、Google Android權限提升漏洞(CNVD-2023-04551)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在權限提升漏洞,該漏洞是由于AppRestrictionController.java的getBackgroundRestrictionExceptionReason代碼中的邏輯錯誤,攻擊者可利用該漏洞提升權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04551
3、Mozilla Firefox緩沖區(qū)溢出漏洞(CNVD-2023-03064)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在緩沖區(qū)溢出漏洞,該漏洞源于意外的WebAuthN擴展導致內存寫入越界。未認證的攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064
4、Google Chrome安全繞過漏洞(CNVD-2023-04548)
Google Chrome是美國谷歌(Google)公司的一款Web瀏覽器。Google Chrome存在安全繞過漏洞,該漏洞是由于安全瀏覽中的策略執(zhí)行不足造成的。攻擊者可利用此漏洞繞過安全限制。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04548
5、Mozilla Firefox輸入驗證錯誤漏洞(CNVD-2023-03059)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox存在輸入驗證錯誤漏洞,該漏洞源于通過閱讀器模式發(fā)起的請求未正確省略具有SameSite屬性的cookie。攻擊者可利用該漏洞提升權限在系統(tǒng)上執(zhí)行任意代碼或造成瀏覽器崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03059
二、境內廠商產(chǎn)品漏洞
1、北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞
電子文檔安全管理系統(tǒng)是一款電子文檔安全加密軟件。北京億賽通科技發(fā)展有限責任公司電子文檔安全管理系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04215
2、TongWeb管理控制臺存在命令執(zhí)行漏洞(CNVD-2022-16268)
TongWeb是北京東方通科技股份有限公司的一款應用服務器。TongWeb管理控制臺存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器控制權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16268
3、北京用友政務軟件股份有限公司人大預算聯(lián)網(wǎng)監(jiān)督系統(tǒng)存在命令執(zhí)行漏洞
北京用友政務軟件股份有限公司是面向政府部門、事業(yè)單位、非營利組織的全方位業(yè)務管理信息化解決方案提供商。北京用友政務軟件股份有限公司人大預算聯(lián)網(wǎng)監(jiān)督系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-01190
4、華天動力協(xié)同辦公系統(tǒng)存在信息泄露漏洞
大連華天軟件有限公司是按照國際先進管理模式和制度組建的高新技術企業(yè),是一家以技術領先著稱的協(xié)同管理軟件公司。華天動力協(xié)同辦公系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02782
5、用友GRP-U8存在命令執(zhí)行漏洞(CNVD-2023-02755)
用友GRP-U8是用友公司專注于國家電子政務事業(yè),基于云計算技術所推出的新一代產(chǎn)品,是我國行政事業(yè)財務領域的政府財務管理軟件。用友GRP-U8存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02755
說明:關注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源: CNVD漏洞平臺