您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230220-20230226)
一、境外廠商產(chǎn)品漏洞
1、Siemens Tecnomatix Plant Simulation越界寫入漏洞(CNVD-2023-10619)
Siemens Tecnomatix Plant Simulation是面向?qū)ο蟮?、圖形化的、集成的建模、仿真工具。Siemens Tecnomatix Plant Simulation存在越界寫入漏洞,該漏洞是由于受影響的應(yīng)用程序在解析特制的SPP文件時(shí)包含超出已分配緩沖區(qū)末尾的越界寫入。攻擊者可利用該在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-10619
2、Ingredients Stock Management System SQL注入漏洞(CNVD-2023-11173)
Ingredients Stock Management System是Carlo Montero個(gè)人開(kāi)發(fā)者的一個(gè)配料庫(kù)存管理系統(tǒng)。Ingredients Stock Management System v1.0版本存在SQL注入漏洞,該漏洞源于/admin/?page=reports/stockin&month=處的month參數(shù)缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11173
3、Google TensorFlow輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2023-10611)
Google TensorFlow是美國(guó)谷歌(Google)公司的一套用于機(jī)器學(xué)習(xí)的端到端開(kāi)源平臺(tái)。Google TensorFlow存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于如果QuantizedAdd被賦予min_input或max_input非零等級(jí)的張量會(huì)出現(xiàn)分段錯(cuò)誤,攻擊者可利用該漏洞觸發(fā)拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-10611
4、OTFCC代碼問(wèn)題漏洞(CNVD-2023-12008)
OTFCC是Caryll開(kāi)源的一個(gè)C庫(kù)和實(shí)用程序。用于解析和編寫OpenType字體文件。OTFCC 0.10.4版本存在代碼問(wèn)題漏洞,該漏洞源于/release-x64/otfccdump+0x4fe9a7文件中存在分段違規(guī)問(wèn)題。攻擊者可利用該漏洞導(dǎo)致程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-12008
5、IBM InfoSphere Information Server跨站腳本漏洞(CNVD-2023-11689)
IBM InfoSphere Information Server是企業(yè)級(jí)信息集成平臺(tái)。它能夠幫助客戶理解異構(gòu)系統(tǒng)中的各種復(fù)雜信息,并且通過(guò)清洗和轉(zhuǎn)換生成一致、完整的可信賴信息,最后將可信賴信息以各種方式交付給各種業(yè)務(wù)系統(tǒng)。IBM InfoSphere Information Server 11.7版本存在跨站腳本漏洞,攻擊者可以利用該漏洞注入惡意的JavaScript腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11689
二、境內(nèi)廠商產(chǎn)品漏洞
1、億賽通電子文檔安全管理系統(tǒng)存在任意文件讀取漏洞(CNVD-2023-09184)
億賽通電子文檔安全管理系統(tǒng)是一款電子文檔安全加密軟件。億賽通電子文檔安全管理系統(tǒng)存在任意文件讀取漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-09184
2、北京力控元通科技有限公司ForceControl存在邏輯缺陷漏洞
ForceControl是一款通用型的人機(jī)可視化監(jiān)控組態(tài)軟件,是國(guó)內(nèi)率先以分布式實(shí)時(shí)數(shù)據(jù)庫(kù)技術(shù)作為內(nèi)核的自動(dòng)化軟件產(chǎn)品。北京力控元通科技有限公司ForceControl存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-08750
3、SEMCMS Ant_Pro.php SQL注入漏洞
SEMCMS是一套支持多種語(yǔ)言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS SHOP 1.1版本存在SQL注入漏洞,該漏洞源于Ant_Pro.php缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11701
4、新天科技無(wú)線GPRS抄表監(jiān)測(cè)管理系統(tǒng)存在弱口令漏洞
無(wú)線GPRS抄表監(jiān)測(cè)管理系統(tǒng)主要為城鎮(zhèn)供水管網(wǎng)的計(jì)量、管理、監(jiān)控、分析而設(shè)計(jì)的一套系統(tǒng)。新天科技無(wú)線GPRS抄表監(jiān)測(cè)管理系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20438
5、SEMCMS Ant_Zekou.php SQL注入漏洞
SEMCMS是一套支持多種語(yǔ)言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS SHOP 1.1版本存在SQL注入漏洞,該漏洞源于Ant_Zekou.php缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-11700
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)