上周关注度较高的产品安全漏洞(20230515-20230521)
上周关注度较高的产品安全漏洞(20230515-20230521)
原创 CNVD CNVD漏洞平台 2023-05-22 17:31
一、境外厂商产品漏洞
1、
Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602)
Adobe Substance 3D Stager
是美国奥多比(
Adobe
)公司的一个虚拟
3D
工作室。
Adobe Substance 3D Stager
2.0.1
及之前版本存在缓冲区溢出漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-37602
2、
Schneider Electric IGSS Data Server缓冲区溢出漏洞(CNVD-2023-38194)
Schneider Electric Igss Data Server
是法国施耐德电气(
Schneider Electric
)公司的一个交互式图形
Scada
系统的数据服务器。
Schneider Electric IGSS
Data Server 15.0.0.22140
之前版本存在缓冲区溢出漏洞,该漏洞源于在处理未受信任的输入时出现边界错误,攻击者可利用该漏洞发送特制的时间缩短数据消息,导致内存损坏并在目标系统上执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-38194
3、
IBM WebSphere Application Server跨站脚本漏洞(CNVD-2023-37168)
IBM WebSphere Application Server
是一款应用服务器产品。该产品是
JavaEE
和
Web
服务应用程序的平台,也是
IBM WebSphere
软件平台的基础。
IBM WebSphere Application
Server
存在跨站脚本漏洞。该漏洞允许用户在
Web UI
中嵌入任意
JavaScript
代码,从而改变预期的功能,可能导致可信会话中的凭据泄露。攻击者可利用该漏洞对目标有针对性的发起攻击,危害站点系统安全。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-37168
4、
Schneider Electric StruxureWare Data Center
Expert访问控制错误漏洞(CNVD-2023-37594)
Schneider Electric StruxureWare Data Center Expert
是法国施耐德电气(
Schneider Electric
)公司的一种监控软件。适用于各种组织监控其全公司范围内的电力、制冷、安全、环境。
Schneider Electric
StruxureWare Data Center Expert 7.9.2
及之前版本存在访问控制错误漏洞,攻击者可利用该漏洞导致远程代码执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-37594
5、
Adobe Substance 3D Stager越界读取漏洞(CNVD-2023-37605)
Adobe Substance 3D Stager
是美国奥多比(
Adobe
)公司的一个虚拟
3D
工作室。
Adobe Substance 3D Stager
2.0.1
及之前版本存在越界读取漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-37605
二、境内厂商产品漏洞
1、
Huawei EMUI和HarmonyOS信息泄露漏洞
Huawei EMUI
是一款基于
Android
开发的移动端操作系统。
Huawei HarmonyOS
是提供一个基于微内核的全场景分布式操作系统。
Huawei EMUI
和
HarmonyOS
存在信息泄露漏洞,该漏洞是由于内存管理模块中的逻辑绕过引起的。攻击者可利用此漏洞访问未经授权的信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-38962
2、
D-Link DIR-605L堆栈缓冲区溢出漏洞
D-Link DIR-605L是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-605L 1.17B01 BETA版本存在堆栈缓冲区溢出漏洞,该漏洞是由于/goform/formTcpipSetup不正确的边界检查引起的。攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码,或者导致拒绝服务
。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-39044
3、
ZTE Zxhn F677目录遍历漏洞
ZTE
Zxhn F677是中国中兴(ZTE)公司的一款双频无线路由器。ZTE Zxhn F677 9.0.0p1n29之前版本存在目录遍历漏洞。该漏洞源于缺乏对用户修改的目的路径的验证,攻击者可利用漏洞修改FTP访问路径进行访问,并在未经授权的情况下修改系统路径内容,从而造成信息泄露,影响设备运行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-39043
4、
Huawei BiSheng-WNM FW拒绝服务漏洞
Huawei BiSheng-WNM FW是中国华为(Huawei)公司的一款华为打印机。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒绝服务漏洞,攻击者利用该漏洞导致拒绝服务。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-39041
5、
ZTE MF297D信息泄露漏洞
ZTE MF297D是中国中兴(ZTE)公司的一款4G无线路由器。ZTE MF297D存在信息泄露漏洞,该漏洞源于存在密码问题漏洞。攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-39042
说
明
:
关
注
度
分
析
由
C
N
V
D
根
据
互
联
网
用
户
对
C
N
V
D
漏
洞
信
息
查
阅
情
况
以
及
产
品
应
用
广
泛
情
况
综
合
评
定
。