您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230306-20230312)
一、境外廠商產(chǎn)品漏洞
1、Dell BIOS緩沖區(qū)溢出漏洞(CNVD-2023-14511)
Dell BIOS是美國戴爾(Dell)公司的一個計算機主板上小型內(nèi)存芯片上的嵌入式軟件。Dell BIOS存在緩沖區(qū)溢出漏洞,該漏洞源于在處理不受信任的輸入時出現(xiàn)邊界錯誤。本地經(jīng)過身份驗證的攻擊者可利用該漏洞通過使用SMI向參數(shù)發(fā)送大于預(yù)期的輸入從而在SMRAM中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14511
2、Microsoft Word遠程代碼執(zhí)行漏洞(CNVD-2023-14998)
Microsoft Word是美國微軟(Microsoft)公司的一套Office套件中的文字處理軟件。Microsoft Word存在遠程代碼執(zhí)行漏洞。攻擊者可利用該漏洞在目標(biāo)主機上執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14998
3、Dell PowerPath Management Appliance授權(quán)問題漏洞
Dell PowerPath Management Appliance是美國戴爾(Dell)公司的一種PowerPath主機管理應(yīng)用程序,提供兩種模型:基于虛擬機的設(shè)備和Docker容器化設(shè)備。Dell PowerPath Management Appliance授權(quán)問題漏洞。攻擊者利用該漏洞可以獲取敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-14505
4、Google TensorFlow緩沖區(qū)溢出漏洞(CNVD-2023-15774)
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學(xué)習(xí)的端到端開源平臺。Google TensorFlow存在緩沖區(qū)錯誤漏洞,攻擊者可利用該漏洞導(dǎo)致程序崩潰。參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-15774
5、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-15826)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動內(nèi)容管理、營銷銷售活動管理和多站點管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞在受害者的瀏覽器上下文中執(zhí)行惡意JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15826
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei HarmonyOS安全繞過漏洞(CNVD-2023-15717)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在安全繞過漏洞,該漏洞源于應(yīng)用包管理模塊存在接口權(quán)限校驗不當(dāng),攻擊者可利用該漏洞恢復(fù)已卸載的預(yù)裝應(yīng)用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15717
2、ZTE OTCP權(quán)限和訪問控制漏洞
ZTE OTCP是中國中興通訊(ZTE)公司的一套下一代網(wǎng)管平臺產(chǎn)品。ZTE OTCP存在權(quán)限和訪問控制漏洞,該漏洞源于權(quán)限設(shè)置不當(dāng),攻擊者可利用該漏洞可以惡意刪除、修改文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15763
3、Tenda AC1200 setWanPpoe函數(shù)堆棧溢出漏洞
Tenda AC1200是中國騰達(Tenda)公司的一款無線路由器。Tenda AC1200 setWanPpoe函數(shù)存在堆棧溢出漏洞。攻擊者可利用該漏洞通過特制的溢出數(shù)據(jù)導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15704
4、Huawei HarmonyO SHwContacts模塊邏輯繞過漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyO SHwContacts模塊存在邏輯繞過漏洞,攻擊者可利用該漏洞影響數(shù)據(jù)完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15718
5、Tenda AC23堆棧溢出漏洞(CNVD-2023-15700)
Tenda AC23是中國騰達(Tenda)公司的一款雙頻千兆無線路由器。Tenda AC23存在堆棧溢出漏洞,攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-15700
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺