您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20231218-20231224)
一、境外廠商產(chǎn)品漏洞
1、Fortinet FortiADC緩沖區(qū)溢出漏洞
Fortinet FortiADC是美國(guó)飛塔(Fortinet)公司的一款應(yīng)用交付控制器。Fortinet FortiADC存在緩沖區(qū)溢出漏洞,該漏洞源于應(yīng)用在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。攻擊者可利用該漏洞通過(guò)特制的CLI請(qǐng)求執(zhí)行任意代碼或命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98180
2、Adobe Dimension越界讀取漏洞(CNVD-2023-98217)
Adobe Dimension是美國(guó)奧多比(Adobe)公司的是一套2D和3D合成設(shè)計(jì)工具。Adobe Dimension 3.4.10及之前版本存在越界讀取漏洞,攻擊者可利用該漏洞導(dǎo)致敏感內(nèi)存泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98217
3、Dell NetWorker加密問(wèn)題漏洞
Dell NetWorker是美國(guó)戴爾(Dell)公司的一個(gè)應(yīng)用程序。提供戴爾公司的論壇討論功能。Dell NetWorker Virtual Edition 19.8及之前版本存在加密問(wèn)題漏洞,該漏洞源于SSH組件使用了不推薦的加密算法,攻擊者可利用該漏洞導(dǎo)致信息泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99335
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2023-99431)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager 6.5.18版本及之前版本存在安全漏洞,攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99431
5、NETGEAR WNR2000命令執(zhí)行漏洞
NETGEAR WNR2000是美國(guó)網(wǎng)件(NETGEAR)公司的一款無(wú)線路由器。NETGEAR WNR2000 v4 1.0.0.70版本存在命令執(zhí)行漏洞,該漏洞源于應(yīng)用未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99028
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei HarmonyOS DFR模塊授權(quán)問(wèn)題漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在授權(quán)問(wèn)題漏洞,該漏洞源于DFR模塊存在接口無(wú)權(quán)限校驗(yàn)。攻擊者可利用該漏洞導(dǎo)致機(jī)密性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98179
2、Tenda W30E formResetMeshNode函數(shù)緩沖區(qū)溢出漏洞
Tenda W30E是中國(guó)騰達(dá)(Tenda)公司的一款路由器。Tenda W30E V16.01.0.12(4843)版本存在緩沖區(qū)溢出漏洞,該漏洞源于函數(shù)formResetMeshNode未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98195
3、LMXCMS SQL注入漏洞(CNVD-2023-98192)
lmxcms(夢(mèng)想cms)是中國(guó)夢(mèng)想cms(lmxcms)公司的一個(gè)建站系統(tǒng)。LMXCMS v1.4版本存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證。攻擊者可利用該漏洞通過(guò)TagsAction.class執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98192
4、Tenda AC10 compare_parentcontrol_time函數(shù)緩沖區(qū)溢出漏洞
Tenda AC10是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC10 US_AC10V4.0si_V16.03.10.13_cn版本存在緩沖區(qū)溢出漏洞,該漏洞源于compare_parentcontrol_time函數(shù)的time參數(shù)未能正確驗(yàn)證輸入數(shù)據(jù)的長(zhǎng)度大小,遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-98204
5、ZTE MF286R命令注入漏洞(CNVD-2023-99925)
ZTE MF286R是中國(guó)中興通訊(ZTE)公司的一款無(wú)線路由器。ZTE MF286R CR_LVWRGBMF286RV1.0.0B04版本存在命令注入漏洞,該漏洞源于應(yīng)用未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-99925
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)