您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230731-20230806)
一、境外廠商產(chǎn)品漏洞
1、Siemens SIMATIC CN 4100默認(rèn)權(quán)限不正確漏洞
Siemens SIMATIC CN 4100是德國西門子(Siemens)公司的一個通信節(jié)點。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,該漏洞源于受影響的設(shè)備在SSH配置中包含不正確的默認(rèn)值。攻擊者可利用該漏洞繞過網(wǎng)絡(luò)隔離。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60604
2、Google Android Framework代碼執(zhí)行漏洞(CNVD-2023-60937)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android Framework存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60937
3、Siemens RUGGEDCOM ROX加密問題漏洞
RUGGEDCOM產(chǎn)品提供了一定程度的穩(wěn)健性和可靠性,為部署在惡劣環(huán)境中的通信網(wǎng)絡(luò)設(shè)定了標(biāo)準(zhǔn)。Siemens RUGGEDCOM ROX存在安全漏洞,該漏洞源于受影響設(shè)備的網(wǎng)絡(luò)服務(wù)器支持不安全的TLS 1.0協(xié)議。攻擊者可利用該漏洞會實施中間人攻擊并損害數(shù)據(jù)的機密性和完整性。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60612
4、Siemens RUGGEDCOM ROX命令注入漏洞(CNVD-2023-60606)
Siemens RUGGEDCOM是德國西門子(Siemens)公司的一個通信設(shè)備。為電力,交通,石油和天然氣及其他行業(yè)提供快速可靠的通信。Siemens RUGGEDCOM ROX存在命令注入漏洞,該漏洞源于缺少服務(wù)器端輸入驗證,受影響設(shè)備的 Web 界面中的 SCEP CA 證書名稱參數(shù)容易受到命令注入的攻擊。攻擊者可利用該漏洞以root權(quán)限執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60606
5、Siemens SIMATIC CN 4100訪問控制不當(dāng)漏洞
Siemens SIMATIC CN 4100是德國西門子(Siemens)公司的一個通信節(jié)點。Siemens SIMATIC CN 4100 2.5版本之前存在安全漏洞,該漏洞源于受影響的設(shè)備在配置文件中包含不正確的訪問控制,從而導(dǎo)致權(quán)限升級。攻擊者可利用該漏洞獲得管理員訪問權(quán)限,從而完全控制設(shè)備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-60605
二、境內(nèi)廠商產(chǎn)品漏洞
1、Milesight UR32L firewall_handler_set函數(shù)緩沖區(qū)溢出漏洞(CNVD-2023-61192)
Milesight UR32L是中國星縱物聯(lián)(Milesight)公司的一個4G工業(yè)路由器。Milesight UR32L firewall_handler_set函數(shù)存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞使緩沖區(qū)溢出并在系統(tǒng)上執(zhí)行任意代碼,或者導(dǎo)致應(yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61192
2、深圳市電速科技有限公司RushCRM系統(tǒng)存在SQL注入漏洞
深圳市電速科技有限公司是目前廣東省在計算機商業(yè)應(yīng)用軟件開發(fā)和復(fù)雜信息系統(tǒng)集成領(lǐng)域?qū)I(yè)公司之一。深圳市電速科技有限公司RushCRM系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-52220
3、Foxit Reader資源管理錯誤漏洞(CNVD-2023-61389)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.1.15289版本存在資源管理錯誤漏洞,該漏洞源于特制的PDF文檔可以通過操作特定類型的表單字段來觸發(fā)先前釋放的內(nèi)存的重用,攻擊者可利用該漏洞導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61389
4、Foxit Reader資源管理錯誤漏洞(CNVD-2023-61388)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.2.15332版本存在安全漏洞,該漏洞源于惡意PDF文檔中特制的Javascript代碼可以觸發(fā)先前釋放對象的重用,攻擊者可利用該漏洞導(dǎo)致內(nèi)存損壞并導(dǎo)致任意代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61388
5、Foxit Reader類型混淆漏洞(CNVD-2023-61387)
Foxit Reader是中國福昕(Foxit)公司的一款PDF文檔閱讀器。Foxit Reader 12.1.2.15332版本存在類型混淆漏洞,攻擊者可利用該漏洞通過惡意PDF文檔中特制的Javascript代碼可能會導(dǎo)致內(nèi)存損壞并導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-61387
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺