上周关注度较高的产品安全漏洞(20230703-20230709)

发布于 作者:

上周关注度较高的产品安全漏洞(20230703-20230709)

国家互联网应急中心CNCERT 2023-07-11 15:19

一、境外厂商产品漏洞

1、Microsoft Excel代码执行漏洞(CNVD-2023-53909)

Microsoft Excel是美国微软(Microsoft)公司的一款Office套件中的电子表格处理软件。Microsoft Excel存在代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-53909

2、Adobe Animate缓冲区溢出漏洞(CNVD-2023-54550)

Adobe Animate是由Adobe公司开发的多媒体创作和电脑动画程序,用于设计矢量图形和动画。Adobe Animate存在安全漏洞,在解析精心制作的文件时受到越界读取漏洞的影响,这可能导致读取超出分配的内存结构的末尾。攻击者可以利用该漏洞在当前用户的环境中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54550

3、Google Android资源管理错误漏洞(CNVD-2023-53160)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在资源管理错误漏洞,攻击者可利用该漏洞通过蓝牙远程执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-53160

4、Linux kernel信息泄露漏洞(CNVD-2023-54416)

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在信息泄露漏洞,该漏洞源于timens_install调用current_is_single_threaded来判断当前进程是否是单线程的,但是这个调用未能考虑io_uring的io_worker线程,攻击者可利用该漏洞将内核内存信息泄露给用户进程。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54416

5、Oracle Database Server Java VM组件拒绝服务漏洞

Oracle Database Server是美国甲骨文(Oracle)公司的一套关系数据库管理系统。该数据库管理系统提供数据管理、分布式处理等功能。Oracle Database Server存在拒绝服务漏洞,攻击者可利用该漏洞造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-53454

二、境内厂商产品漏洞

1、北京星网锐捷网络技术有限公司RG-BCR860操作系统命令注入漏洞

RG-BCR860是中国锐捷网络(Ruijie Networks)公司的一款商业云路由器。北京星网锐捷网络技术有限公司RG-BCR860 2.5.13版本存在操作系统命令注入漏洞,该漏洞源于组件Network Diagnostic Page未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54867

2、IKuai OS命令注入漏洞

IKuai OS是中国爱快(IKuai)公司的一个操作系统。提供了一组强大的网关,基于DPI的流量整形,AC控制,门户身份验证功能,可通过降低初始安装成本来提高资本效率。IKuai OS 3.7.1版本存在命令注入漏洞,该漏洞源于webman.lua文件的ActionLogin函数未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54864

3、杭州海康威视数字技术股份有限公司iVMS-8700综合安防管理平台存在文件上传漏洞

iVMS-8700综合安防管理平台是一款基于SOA系统架构的集成多系统的联网平台。杭州海康威视数字技术股份有限公司iVMS-8700综合安防管理平台存在文件上传漏洞,攻击者可利用漏洞上传恶意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-53133

4、IBOS OA SQL注入漏洞

IBOS是一个协同办公管理系统。IBOS OA 4.5.5版本存在SQL注入漏洞,该漏洞源于组件Add User Handler中的参数id缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54865

5、novel-plus文件上传漏洞

novel-plus(小说精品屋-plus)是一个多端(PC、WAP)阅读、功能完善的原创文学CMS系统。novel-plus存在文件上传漏洞,该漏洞源于/novel-admin/src/main/java/com/java2nb/common/controller/FileController.java缺少对于文件上传的限制。攻击者可利用漏洞上传恶意JSP文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-54404

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。