您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞
(20230508-20230514)
一、境外廠商產品漏洞
1、Linux kernel雙重釋放漏洞(CNVD-2023-34466)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內核。Linux kernel存在雙重釋放漏洞,該漏洞源于TUN/TAP設備驅動程序中存在雙重釋放缺陷,攻擊者利用該漏洞可以使服務器崩潰或提升他們在系統(tǒng)上的權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-34466
2、Google Android資源管理錯誤漏洞(CNVD-2023-36104)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在資源管理錯誤漏洞,該漏洞源于ParsingPackageUtils.java組件的parseUsesPermission存在存在不受控制的資源消耗,攻擊者可利用該漏洞導致出現(xiàn)引導循環(huán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36104
3、Google Android權限提升漏洞(CNVD-2023-36105)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在權限提升漏洞,攻擊者可利用此漏洞提升權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36105
4、Microsoft PostScript and PCL6 Class Printer Driver遠程代碼執(zhí)行漏洞(CNVD-2023-35222)
Microsoft PostScript Printer Driver是美國微軟(Microsoft)公司的用于PostScript打印機的Microsoft標準打印機驅動程序。Microsoft PCL6 Class Printer Driver是美國微軟(Microsoft)公司的一個打印機驅動軟件。Microsoft PostScript and PCL6 Class Printer Driver存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞遠程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-35222
5、Google Android拒絕服務漏洞(CNVD-2023-36103)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在拒絕服務漏洞,該漏洞源于PreferencesHelper.java組件的未捕獲的異常,攻擊者可利用該漏洞導致設備卡在引導循環(huán)中。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36103
二、境內廠商產品漏洞
1、Zyxel NBG6604命令注入漏洞
Zyxel NBG6604是一款中國合勤科技(Zyxel)公司的一款雙頻無線路由器。Zyxel NBG6604存在安全漏洞,遠程攻擊者可利用該漏洞提交特殊的請求,在系統(tǒng)上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36292
2、HongCMS跨站腳本漏洞(CNVD-2023-36284)
HongCMS是一套開源的輕量級內容管理系統(tǒng)(CMS)。HongCMS 3.0版本存在跨站腳本漏洞,該漏洞源于通過/ajax/myshop的callback參數(shù)運行任意代碼。攻擊者利用該漏洞通過插入代碼執(zhí)行跨站腳本攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36284
3、EyouCms跨站腳本漏洞(CNVD-2023-36287)
EyouCms是一套基于ThinkPHP的開源內容管理系統(tǒng)(CMS)。EyouCms V1.6.1-UTF8-sp1版本存在跨站腳本漏洞。該漏洞源于應用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉義,攻擊者可利用該漏洞通過注入精心設計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36287
4、Huawei HiLink AI Life授權問題漏洞
Huawei HiLink AI Life是中國華為(Huawei)公司的全屋智能解決方案。Huawei HiLink AI Life存在授權問題漏洞,該漏洞源于該軟件存在著權限分配錯誤問題,攻擊者可利用該漏洞訪問受限的功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156
5、D-Link DIR-823G緩沖區(qū)溢出漏洞
D-Link DIR-823G是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-823G V1.0.2B05版本存在緩沖區(qū)溢出漏洞,該漏洞源于NewPassword參數(shù)參數(shù)在處理不受信任的輸入時出現(xiàn)邊界錯誤。遠程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導致拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37157
說明:關注度分析由CNVD根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺