您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230703-20230709)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Excel代碼執(zhí)行漏洞(CNVD-2023-53909)
Microsoft Excel是美國(guó)微軟(Microsoft)公司的一款Office套件中的電子表格處理軟件。Microsoft Excel存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53909
2、Adobe Animate緩沖區(qū)溢出漏洞(CNVD-2023-54550)
Adobe Animate是由Adobe公司開發(fā)的多媒體創(chuàng)作和電腦動(dòng)畫程序,用于設(shè)計(jì)矢量圖形和動(dòng)畫。Adobe Animate存在安全漏洞,在解析精心制作的文件時(shí)受到越界讀取漏洞的影響,這可能導(dǎo)致讀取超出分配的內(nèi)存結(jié)構(gòu)的末尾。攻擊者可以利用該漏洞在當(dāng)前用戶的環(huán)境中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54550
3、Google Android資源管理錯(cuò)誤漏洞(CNVD-2023-53160)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞通過藍(lán)牙遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53160
4、Linux kernel信息泄露漏洞(CNVD-2023-54416)
Linux kernel是美國(guó)Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在信息泄露漏洞,該漏洞源于timens_install調(diào)用current_is_single_threaded來判斷當(dāng)前進(jìn)程是否是單線程的,但是這個(gè)調(diào)用未能考慮io_uring的io_worker線程,攻擊者可利用該漏洞將內(nèi)核內(nèi)存信息泄露給用戶進(jìn)程。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54416
5、Oracle Database Server Java VM組件拒絕服務(wù)漏洞
Oracle Database Server是美國(guó)甲骨文(Oracle)公司的一套關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。該數(shù)據(jù)庫(kù)管理系統(tǒng)提供數(shù)據(jù)管理、分布式處理等功能。Oracle Database Server存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53454
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-BCR860操作系統(tǒng)命令注入漏洞
RG-BCR860是中國(guó)銳捷網(wǎng)絡(luò)(Ruijie Networks)公司的一款商業(yè)云路由器。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司RG-BCR860 2.5.13版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于組件Network Diagnostic Page未能正確過濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54867
2、IKuai OS命令注入漏洞
IKuai OS是中國(guó)愛快(IKuai)公司的一個(gè)操作系統(tǒng)。提供了一組強(qiáng)大的網(wǎng)關(guān),基于DPI的流量整形,AC控制,門戶身份驗(yàn)證功能,可通過降低初始安裝成本來提高資本效率。IKuai OS 3.7.1版本存在命令注入漏洞,該漏洞源于webman.lua文件的ActionLogin函數(shù)未能正確過濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54864
3、杭州海康威視數(shù)字技術(shù)股份有限公司iVMS-8700綜合安防管理平臺(tái)存在文件上傳漏洞
iVMS-8700綜合安防管理平臺(tái)是一款基于SOA系統(tǒng)架構(gòu)的集成多系統(tǒng)的聯(lián)網(wǎng)平臺(tái)。杭州??低晹?shù)字技術(shù)股份有限公司iVMS-8700綜合安防管理平臺(tái)存在文件上傳漏洞,攻擊者可利用漏洞上傳惡意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-53133
4、IBOS OA SQL注入漏洞
IBOS是一個(gè)協(xié)同辦公管理系統(tǒng)。IBOS OA 4.5.5版本存在SQL注入漏洞,該漏洞源于組件Add User Handler中的參數(shù)id缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54865
5、novel-plus文件上傳漏洞
novel-plus(小說精品屋-plus)是一個(gè)多端(PC、WAP)閱讀、功能完善的原創(chuàng)文學(xué)CMS系統(tǒng)。novel-plus存在文件上傳漏洞,該漏洞源于/novel-admin/src/main/java/com/java2nb/common/controller/FileController.java缺少對(duì)于文件上傳的限制。攻擊者可利用漏洞上傳惡意JSP文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-54404
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源: CNVD漏洞平臺(tái)