上周关注度较高的产品安全漏洞(20230410-20230416)

发布于 作者:

上周关注度较高的产品安全漏洞(20230410-20230416)

国家互联网应急中心CNCERT 2023-04-18 16:43

一、境外厂商产品漏洞

1、Apache InLong反序列化漏洞(CNVD-2023-25936)

Apache InLong是美国阿帕奇(Apache)基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong 1.1.0版本至1.5.0版本存在反序列化漏洞,该漏洞源于应用程序在接收用户提交的序列化数据的不安全反序列化处理,攻击者可利用该漏洞导致代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25936

2、Google Android越界读取漏洞(CNVD-2023-26065)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在越界读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-26065

3、Adobe Dimension堆缓冲区溢出漏洞(CNVD-2023-25104)

Adobe Dimension是美国奥多比(Adobe)公司的是一套2D和3D合成设计工具。Adobe Dimension存在堆缓冲区溢出漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25104

4、Apache OpenOffice代码执行漏洞(CNVD-2023-25931)

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。Apache OpenOffice存在代码执行漏洞,该漏洞源于包含使用任意参数调用内部宏的链接,激活链接后,攻击者可利用该漏洞导致任意脚本执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25931

5、Apache OpenOffice代码问题漏洞

Apache OpenOffice是美国阿帕奇(Apache)基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。Apache OpenOffice 4.1.14之前版本存在代码问题漏洞,该漏洞源于可以向Java类路径添加一个空条目,攻击者可利用该漏洞导致从当前目录运行任意Java代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25930

二、境内厂商产品漏洞

1、Foxit PDF Reader资源管理错误漏洞(CNVD-2023-25120)

Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit PDF Reader存在资源管理错误漏洞,攻击者可利用该漏洞在当前进程中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25120

2、亿赛通电子文档安全管理系统存在未授权访问漏洞****

亿赛通电子文档安全管理系统是一款电子文档安全加密软件。亿赛通电子文档安全管理系统存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-24701

3、Foxit PDF Reader缓冲区溢出漏洞(CNVD-2023-25113)****

Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit PDF Reader存在缓冲区溢出漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-25113

4、D-Link DIR-3040缓冲区溢出漏洞****

D-Link DIR-3040是中国友讯(D-Link)公司的一个路由器。提供连接网络的功能。D-Link DIR-3040存在缓冲区溢出漏洞,该漏洞是由于MiniDLNA服务的未能正确边界检查引起的。攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-27674

5、D-Link DIR-867命令注入漏洞

D-Link DIR-867是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-867存在命令注入漏洞,该漏洞是由于SetVirtualServerSettings功能中的命令注入漏洞引起的。通过使用LocalIPAddress参数发送精心编制的请求,攻击者可利用该漏洞在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-27687

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。