您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20230417-20230423)
一、境外廠商產品漏洞
1、ZOHO ManageEngine ADManager Plus遠程命令漏洞
ZOHO ManageEngine ADManager Plus是美國卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設計的微軟活動目錄管理軟件。ZOHO ManageEngine ADManager Plus存在遠程命令漏洞,攻擊者利用該漏洞通過代理設置執(zhí)行命令注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28754
2、SAP NetWeaver跨站腳本漏洞(CNVD-2023-28125)
SAP NetWeaver是德國思愛普(SAP)公司的一套面向服務的集成化應用平臺。該平臺主要為SAP應用程序提供開發(fā)和運行環(huán)境。SAP NetWeaver存在跨站腳本漏洞,該漏洞源于用戶輸入的編碼不足,攻擊者可以利用該漏洞注入暴露敏感數據(如用戶 ID 和密碼)的代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28125
3、Siemens SICAM A8000命令注入漏洞
Siemens SICAM A8000是德國西門子(Siemens)公司的一款用于繼電保護與變電站環(huán)境的保護與間隔控制單元設備。Siemens SICAM A8000存在命令注入漏洞。該漏洞源于設備未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞在設備上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29699
4、SAP NetWeaver AS Java授權問題漏洞(CNVD-2023-28121)
SAP NetWeaver AS Java是德國思愛普(SAP)公司的一款提供了Java運行環(huán)境的應用程序服務器。該產品主要用于開發(fā)和運行Java EE應用程序。SAP NetWeaver AS Java 7.50版本存在授權問題漏洞,該漏洞源于未執(zhí)行必要的授權檢查。攻擊者可利用該漏洞連接到開放端口,利用開放命名和目錄API訪問服務器數據。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28121
5、Microsoft Visual Studio欺騙漏洞(CNVD-2023-29698)
Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產品,也是一個基本完整的開發(fā)工具集,它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在欺騙漏洞,攻擊者可借助特制網站利用該漏洞欺騙內容并誘導用戶相信該網站的合法性,同時結合網頁服務中的其他漏洞發(fā)起攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29698
二、境內廠商產品漏洞
1、D-Link DIR-3040命令注入漏洞
D-Link DIR-3040是中國友訊(D-Link)公司的一個路由器。提供連接網絡的功能。D-Link DIR-3040存在命令注入漏洞,該漏洞源于SetTriggerLEDBlink函數未能正確過濾構造命令特殊字符、命令等,攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28115
2、TOTOLINK A3002MU存在命令執(zhí)行漏洞
A3002MU是一款路由器。TOTOLINK A3002MU存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29051
3、D-Link DIR820LA1命令注入漏洞
D-Link DIR820LA1是中國友訊(D-Link)公司的一款路由器。D-Link DIR820LA1存在命令注入漏洞,攻擊者可利用該漏洞通過設計有效載荷將權限提升至root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28114
4、TOTOLINK T8存在二進制漏洞(CNVD-2023-30415)
TOTOLINK T8是一款無線雙頻路由器。TOTOLINK T8存在二進制漏洞,攻擊者可利用該漏洞導致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30415
5、D-Link DVG-G5402SP訪問控制錯誤漏洞
D-Link DVG-G5402SP是中國友訊(D-Link)公司的一款無線路由器。D-Link DVG-G5402SP存在訪問控制錯誤漏洞,未經身份認證的攻擊者可利用該漏洞通過編輯任意VoIP SIB文件實現提升權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-28116
說明:關注度分析由CNVD根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺