您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231127-20231203)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Skype for Business遠(yuǎn)程代碼執(zhí)行漏洞
Microsoft Skype for Business Server是美國(guó)微軟(Microsoft)公司的一套安全統(tǒng)一的通信平臺(tái),它提供即時(shí)消息(IM)、音頻和視頻通話、聯(lián)機(jī)會(huì)議、聯(lián)機(jī)狀態(tài)信息和共享功能。Microsoft Skype for Business存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-92199
2、Apache InLong反序列化漏洞(CNVD-2023-93323)
Apache InLong是美國(guó)阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,攻擊者可利用該漏洞導(dǎo)致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93323
3、Cisco Duo身份驗(yàn)證錯(cuò)誤漏洞
Cisco Duo是美國(guó)思科(Cisco)公司的一個(gè)完全托管的解決方案。提供對(duì)您的應(yīng)用程序和數(shù)據(jù)的安全訪問。Cisco Duo Two-Factor Authentication存在身份驗(yàn)證錯(cuò)誤漏洞,該漏洞源于在應(yīng)用程序配置為失效開放時(shí)不正確地處理來自 Cisco Duo的響應(yīng)所致,經(jīng)過身份驗(yàn)證的物理攻擊者可利用該漏洞繞過輔助身份驗(yàn)證訪問macOS設(shè)備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93335
4、Apache Traffic Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2023-93321)
Apache Traffic Server(ATS)是美國(guó)阿帕奇(Apache)基金會(huì)的一套可擴(kuò)展的HTTP代理和緩存服務(wù)器。Apache Traffic Server存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于HTTP/2幀格式錯(cuò)誤,容易受到HTTP/2和s3身份驗(yàn)證插件攻擊。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93321
5、Microsoft Skype for Business遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-92200)
Microsoft Skype for Business Server是美國(guó)微軟(Microsoft)公司的一套安全統(tǒng)一的通信平臺(tái),它提供即時(shí)消息(IM)、音頻和視頻通話、聯(lián)機(jī)會(huì)議、聯(lián)機(jī)狀態(tài)信息和共享功能。Microsoft Skype for Business存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-92200
二、境內(nèi)廠商產(chǎn)品漏洞
1、啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在文件上傳漏洞
天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下用戶對(duì)網(wǎng)絡(luò)內(nèi)的核心IT資產(chǎn)和服務(wù)器進(jìn)行的操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86949
2、用友UAP系統(tǒng)存在信息泄露漏洞
用友網(wǎng)絡(luò)科技股份有限公司是一家全球領(lǐng)先的企業(yè)云服務(wù)與軟件提供商。用友UAP系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91706
3、北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄露漏洞(CNVD-2023-86622)
北京億賽通科技發(fā)展有限責(zé)任公司是國(guó)內(nèi)領(lǐng)先的數(shù)據(jù)安全業(yè)務(wù)供應(yīng)商。北京億賽通科技發(fā)展有限責(zé)任公司電子文檔安全管理系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-86622
4、用友U8 Cloud存在命令執(zhí)行漏洞(CNVD-2023-91638)
用友網(wǎng)絡(luò)科技股份有限公司是一家企業(yè)云服務(wù)與軟件提供商。用友U8 Cloud存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-91638
5、TomExam跨站腳本漏洞
TomExam是一款免費(fèi)高效的網(wǎng)絡(luò)考試系統(tǒng)軟件。TomExam 3.0版本存在跨站腳本(XSS)漏洞,攻擊者可利用該漏洞通過p_name參數(shù)傳遞給list.thtml,導(dǎo)致跨站腳本(XSS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-93550
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)