您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230626-20230702)
一、境外廠商產(chǎn)品漏洞
1、Google Android緩沖區(qū)溢出漏洞(CNVD-2023-52817)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞無需額外執(zhí)行權(quán)限的情況下遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-52817
2、Linux kernel內(nèi)存錯誤引用漏洞(CNVD-2023-51383)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在內(nèi)存錯誤引用漏洞,該漏洞源于在fs/btrfs/relocation.c的prepare_to_relocate函數(shù)中負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂。攻擊者可利用該漏洞導(dǎo)致程序崩潰,任意代碼執(zhí)行等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51383
3、Microsoft Exchange Server權(quán)限提升漏洞(CNVD-2023-51374)
Microsoft Exchange Server是美國微軟(Microsoft)公司的一套電子郵件服務(wù)程序。它提供郵件存取、儲存、轉(zhuǎn)發(fā),語音郵件,郵件過濾篩選等功能。Microsoft Exchange Server存在權(quán)限提升漏洞,攻擊者可利用該漏洞獲取SYSTEM權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51374
4、IBM Security Directory Suite VA操作系統(tǒng)命令注入漏洞
IBM Security Directory Suite是美國國際商業(yè)機(jī)器(IBM)公司的一個可擴(kuò)展的、基于標(biāo)準(zhǔn)的身份平臺,可簡化身份和目錄管理。IBM Security Directory Suite VA存在操作系統(tǒng)命令注入漏洞,攻擊者可利用該漏洞通過發(fā)送特制請求在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51454
5、Microsoft Exchange Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-51368)
Microsoft Exchange Server是美國微軟(Microsoft)公司的一套電子郵件服務(wù)程序。它提供郵件存取、儲存、轉(zhuǎn)發(fā),語音郵件,郵件過濾篩選等功能。Microsoft Exchange Server存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51368
二、境內(nèi)廠商產(chǎn)品漏洞
1、TOTOLINK CP900命令注入漏洞
TOTOLINK CP900是中國吉翁電子(TOTOLINK)公司的一個無線路由器。TOTOLINK CP900存在命令注入漏洞,該漏洞源于setWebWlanIdx函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51677
2、Huawei BiSheng-WNM FW拒絕服務(wù)漏洞(CNVD-2023-51675)
Huawei BiSheng-WNM FW是中國華為(Huawei)公司的一款華為打印機(jī)。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒絕服務(wù)漏洞,攻擊者可利用此漏洞導(dǎo)致打印機(jī)服務(wù)異常。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51675
3、TOTOLINK A7100RU命令注入漏洞(CNVD-2023-51676)
TOTOLINK A7100RU是中國吉翁電子(TOTOLINK)公司的一款無線路由器。TOTOLINK A7100RU存在命令注入漏洞,該漏洞源于cgi-bin/cstecgi.cgi的enabled參數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等。攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-51676
4、暢捷通信息技術(shù)股份有限公司遠(yuǎn)程通CHANJET_Remote 2018和遠(yuǎn)程通CHANJET_Remote 2019存在SQL注入漏洞
暢捷通信息技術(shù)股份有限公司是一家致力于為小微企業(yè)、政府、公共事業(yè)及非營利組織提供專業(yè)、標(biāo)準(zhǔn)、靈活、易用的信息化產(chǎn)品及專業(yè)的服務(wù)的公司。暢捷通信息技術(shù)股份有限公司遠(yuǎn)程通CHANJET_Remote 2018和遠(yuǎn)程通CHANJET_Remote 2019存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-05486
5、H3C Magic R300堆棧溢出漏洞(CNVD-2023-52052)
H3C Magic R300是中國新華三(H3C)公司的一款無線路由器。H3C Magic R300存在棧溢出漏洞,該漏洞是由于/goform/aspForm上的AddWlanMacList接口不正確邊界檢查引起的。攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-52052
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺