您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230522-20230528)
一、境外廠商產(chǎn)品漏洞
1、Adobe Substance 3D Painter越界讀取漏洞(CNVD-2023-41408)
Adobe Substance 3D Painter是美國(guó)奧多比(Adobe)公司的一個(gè)3D紋理處理應(yīng)用程序。Adobe Substance 3D Painter 8.3.0及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41408
2、Schneider Electric EcoStruxure Control Expert代碼執(zhí)行漏洞
Schneider Electric EcoStruxure Control Expert是法國(guó)施耐德電氣(Schneider Electric)公司的一套用于Schneider Electric邏輯控制器產(chǎn)品的編程軟件。Schneider Electric EcoStruxure Control Expert V15.1及之前版本存在代碼執(zhí)行漏洞,該漏洞源于存在資源暴露于錯(cuò)誤領(lǐng)域,攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40176
3、Prestashop路徑遍歷漏洞(CNVD-2023-41497)
PrestaShop是美國(guó)PrestaShop公司的一套開源的電子商務(wù)解決方案。該方案提供多種支付方式、短消息提醒和商品圖片縮放等功能。Prestashop 1.7.20及之前版本存在路徑遍歷漏洞,該漏洞源于odules/customexporter/downloads/download.php缺乏權(quán)限的控制和路徑名構(gòu)造的控制,攻擊者可利用該漏洞通過(guò)路徑遍歷查看信息系統(tǒng)中的所有文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41497
4、Rockwell Automation ArmorStart ST跨站腳本漏洞
Rockwell Automation ArmorStart ST是美國(guó)羅克韋爾(Rockwell Automation)公司的一種用于機(jī)旁控制架構(gòu)的簡(jiǎn)單而經(jīng)濟(jì)實(shí)用的解決方案。Rockwell Automation ArmorStart ST存在跨站腳本漏洞,遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本或HTML代碼,當(dāng)惡意數(shù)據(jù)被查看時(shí),可獲取敏感信息或劫持用戶會(huì)話。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40912
5、Cisco Identity Services Engine XML外部實(shí)體注入漏洞
Cisco Identity Services Engine(ISE)是美國(guó)思科(Cisco)公司的一款環(huán)境感知平臺(tái)(ISE身份服務(wù)引擎)。該平臺(tái)通過(guò)收集網(wǎng)絡(luò)、用戶和設(shè)備中的實(shí)時(shí)信息,制定并實(shí)施相應(yīng)策略來(lái)監(jiān)管網(wǎng)絡(luò)。Cisco Identity Services Engine存在XML外部實(shí)體注入漏洞,經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞讀取任意文件或通過(guò)受影響的設(shè)備進(jìn)行服務(wù)器端請(qǐng)求偽造 (SSRF) 攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40182
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京網(wǎng)瑞達(dá)科技有限公司W(wǎng)ebVPN資源訪問(wèn)控制系統(tǒng)存在SSRF漏洞
WebVPN資源訪問(wèn)控制系統(tǒng)是一款為用戶提供免客戶端的資源便捷訪問(wèn)工具。北京網(wǎng)瑞達(dá)科技有限公司W(wǎng)ebVPN資源訪問(wèn)控制系統(tǒng)存在SSRF漏洞,攻擊者可利用該漏洞探測(cè)內(nèi)網(wǎng)信息,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-29023
2、北京網(wǎng)瑞達(dá)科技有限公司資源訪問(wèn)控制系統(tǒng)(WebVPN)存在弱口令漏洞
資源訪問(wèn)控制系統(tǒng)(WebVPN)是一款為用戶提供免客戶端的資源便捷訪問(wèn)工具。北京網(wǎng)瑞達(dá)科技有限公司資源訪問(wèn)控制系統(tǒng)(WebVPN)存在弱口令漏洞,攻擊者可利用該漏洞批量登錄VPN前臺(tái)獲取內(nèi)部敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-84288
3、Tenda AC5代碼執(zhí)行漏洞
Tenda AC5是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC5 V15.03.06.28版本存在代碼執(zhí)行漏洞,該漏洞源于ip/goform/WriteFacMac的Mac參數(shù)未能正確過(guò)濾構(gòu)造代碼段的特殊元素。攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-40600
4、上海百勝軟件股份有限公司E3全渠道配置中心存在弱口令漏洞
上海百勝軟件股份有限公司是一家全渠道數(shù)字零售解決方案服務(wù)商,為零售行業(yè)提供運(yùn)營(yíng)咨詢和數(shù)智化解決方案。上海百勝軟件股份有限公司E3全渠道配置中心存在弱口令漏洞,攻擊者可以利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-31917
5、PHPOK代碼問(wèn)題漏洞
PHPOK是一套支持?jǐn)U展的企業(yè)建站系統(tǒng)。PHPOK 5.7.140版本存在代碼問(wèn)題漏洞,該漏洞源于存在文件上傳漏洞,遠(yuǎn)程攻擊者可利用該漏洞通過(guò)上傳制作的zip文件運(yùn)行任意代碼和權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-41863
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)