您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230724-20230730)
一、境外廠商產(chǎn)品漏洞
1、IBM DB2拒絕服務(wù)漏洞(CNVD-2023-58522)
IBM DB2是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58522
2、Mozilla Firefox資源管理錯(cuò)誤漏洞(CNVD-2023-58298)
Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開源Web瀏覽器。Mozilla Firefox 115.0.2之前版本和Firefox ESR 115.0.2之前版本存在資源管理錯(cuò)誤漏洞,該漏洞源于程序負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂,攻擊者可利用該漏洞導(dǎo)致潛在的可利用崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58298
3、IBM DB2權(quán)限提升漏洞(CNVD-2023-58521)
IBM DB2是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在權(quán)限提升漏洞,攻擊者可利用該漏洞通過在受影響服務(wù)的路徑中插入可執(zhí)行文件來獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58521
4、Linux kernel緩沖區(qū)溢出漏洞(CNVD-2023-58993)
Linux kernel是美國(guó)Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在緩沖區(qū)溢出漏洞,該漏洞源于ksmbd中發(fā)現(xiàn)了一個(gè)問題,fs/ksmbd/smb2pdu.c在smb2_write的非填充情況下缺少長(zhǎng)度驗(yàn)證。攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58993
5、Trend Micro Mobile Security存在文件包含漏洞
Trend Micro Mobile Security是美國(guó)趨勢(shì)科技(Trend Micro)公司的一套手機(jī)安全軟件。該軟件包括手機(jī)安全掃描、惡意程序?qū)崟r(shí)防護(hù)和惡意行為監(jiān)控等功能。Trend Micro Mobile Security存在文件包含漏洞,攻擊者可利用該漏洞實(shí)現(xiàn)權(quán)限繞過。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58012
二、境內(nèi)廠商產(chǎn)品漏洞
1、Moxa SDS-3008跨站腳本漏洞
Moxa SDS-3008是中國(guó)摩莎(MOXA)公司的一系列工業(yè)交換機(jī)。Moxa SDS-3008存在跨站腳本漏洞,攻擊者可利用該漏洞發(fā)送特制HTTP請(qǐng)求導(dǎo)致任意Javascript執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58306
2、YznCMS跨站請(qǐng)求偽造漏洞
YznCMS是一個(gè)后臺(tái)開發(fā)框架。YznCMS v1.1.0版本存在跨站請(qǐng)求偽造漏洞,該漏洞源于在/public/admin/profile/update.html中未充分驗(yàn)證請(qǐng)求是否來自可信用戶。攻擊者可利用該漏洞通過構(gòu)建POST請(qǐng)求更改管理員密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58830
3、貴陽語玩科技有限公司語玩APP存在SQL注入漏洞
語玩APP是一款語音社交聊天軟件。貴陽語玩科技有限公司語玩APP存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19475
4、學(xué)習(xí)通存在XSS漏洞
學(xué)習(xí)通是由北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司于2016年開發(fā)的一款集移動(dòng)教學(xué)、移動(dòng)學(xué)習(xí)、移動(dòng)閱讀、移動(dòng)社交為一體的免費(fèi)應(yīng)用程序,僅支持移動(dòng)端(Android / iOS / Harmony OS)。學(xué)習(xí)通存在XSS漏洞,攻擊者可利用該漏洞獲取用戶cookie等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-22712
5、SEMCMS代碼問題漏洞
SEMCMS是一套支持多種語言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS PHP 3.7版本存在代碼問題漏洞,遠(yuǎn)程攻擊者可利用該漏洞上傳任意文件并獲得升級(jí)的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58823
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)