您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231009-20231015)
一、境外廠商產(chǎn)品漏洞
1、Siemens Simcenter Amesim遠(yuǎn)程代碼執(zhí)行漏洞
Simcenter Amesim是一個(gè)集成的、可擴(kuò)展的系統(tǒng)仿真平臺(tái),允許系統(tǒng)仿真工程師虛擬評(píng)估和優(yōu)化機(jī)電系統(tǒng)的性能。Siemens Simcenter Amesim存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在受影響應(yīng)用程序進(jìn)程的上下文中執(zhí)行DLL注入和執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75588
2、Siemens SINEC NMS權(quán)限分配不正確漏洞
Siemens SINEC NMS是德國(guó)西門子(Siemens)公司的一個(gè)網(wǎng)絡(luò)管理系統(tǒng) (NMS),該系統(tǒng)可用于全天候集中監(jiān)控、管理和配置具有數(shù)萬臺(tái)設(shè)備的工業(yè)網(wǎng)絡(luò),包括與安全相關(guān)的領(lǐng)域。Siemens SINEC NMS存在權(quán)限分配不正確漏洞,該漏洞是由于受影響的應(yīng)用程序?yàn)榘蓤?zhí)行文件和庫(kù)的特定文件夾分配了不正確的訪問權(quán)限。攻擊者可利用該漏洞注入任意代碼并提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75591
3、Google Android權(quán)限提升漏洞(CNVD-2023-75536)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用此漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75536
4、Google Android拒絕服務(wù)漏洞(CNVD-2023-75538)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在拒絕服務(wù)漏洞,攻擊者可利用此漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75538
5、Mozilla Firefox資源操作不當(dāng)漏洞
Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開源Web瀏覽器。Mozilla Firefox存在資源操作不當(dāng)漏洞,該漏洞源于瀏覽器處理XSL文檔的方式。攻擊者可利用該漏洞欺騙受害者加載一個(gè)特別設(shè)計(jì)的XSL文檔,該文檔可以在同源策略的范圍內(nèi)繼續(xù)執(zhí)行JavaScript,即使在瀏覽器選項(xiàng)卡關(guān)閉之后。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-75348
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在SQL注入漏洞
浙江大華技術(shù)股份有限公司,是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在SQL注入漏洞,攻擊者可以利用漏洞獲取數(shù)據(jù)庫(kù)配置信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71714
2、QQ音樂存在命令執(zhí)行漏洞
QQ音樂是騰訊官方推出的音樂播放軟件。QQ音樂存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71686
3、用友網(wǎng)絡(luò)科技股份有限公司NC Cloud存在遠(yuǎn)程命令執(zhí)行漏洞
NC Cloud是一款大型企業(yè)數(shù)字化平臺(tái),深度應(yīng)用新一代數(shù)字智能技術(shù),完全基于云原生架構(gòu),打造開放、互聯(lián)、融合、智能的一體化云平臺(tái)。用友網(wǎng)絡(luò)科技股份有限公司NC Cloud存在遠(yuǎn)程命令執(zhí)行漏洞,攻擊者可利用漏洞通過構(gòu)造惡意請(qǐng)求繞過校驗(yàn)進(jìn)行遠(yuǎn)程命令執(zhí)行,從而獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71023
4、珠海金山辦公軟件有限公司W(wǎng)PS Windows版存在命令執(zhí)行漏洞
WPS是一款辦公軟件。珠海金山辦公軟件有限公司W(wǎng)PS Windows版存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-71685
5、科大訊飛股份有限公司API網(wǎng)關(guān)管理系統(tǒng)存在信息泄露漏洞
科大訊飛股份有限公司成立于1999年,是亞太地區(qū)知名的智能語(yǔ)音和人工智能上市企業(yè)??拼笥嶏w股份有限公司API網(wǎng)關(guān)管理系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43434
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)