上周关注度较高的产品安全漏洞(20230626-20230702)

发布于 作者:

上周关注度较高的产品安全漏洞(20230626-20230702)

国家互联网应急中心CNCERT 2023-07-04 15:53

一、境外厂商产品漏洞

1、
Google Android缓冲区溢出漏洞(CNVD-2023-52817)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,攻击者可利用该漏洞无需额外执行权限的情况下远程执行代码

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-52817

2、
Linux kernel内存错误引用漏洞(CNVD-2023-51383)

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在内存错误引用漏洞,该漏洞源于在fs/btrfs/relocation.c的prepare_to_relocate函数中负责释放内存的指令发生混乱。攻击者可利用该漏洞导致程序崩溃,任意代码执行等。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51383 

3、
Microsoft Exchange Server权限提升漏洞(CNVD-2023-51374)

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Exchange Server存在权限提升漏洞,攻击者可利用该漏洞获取SYSTEM权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51374

4、IBM Security Directory Suite VA操作系统命令注入漏洞

IBM Security Directory Suite是美国国际商业机器(IBM)公司的一个可扩展的、基于标准的身份平台,可简化身份和目录管理。IBM Security Directory
Suite VA存在操作系统命令注入漏洞,攻击者可利用该漏洞通过发送特制请求在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51454 

5、
Microsoft Exchange Server远程代码执行漏洞(CNVD-2023-51368)

Microsoft Exchange Server是美国微软(Microsoft)公司的一套电子邮件服务程序。它提供邮件存取、储存、转发,语音邮件,邮件过滤筛选等功能。Microsoft Exchange Server存在远程代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51368

二、境内厂商产品漏洞

1、
TOTOLINK CP900命令注入漏洞

TOTOLINK CP900是中国吉翁电子(TOTOLINK)公司的一个无线路由器。TOTOLINK CP900存在命令注入漏洞,该漏洞源于setWebWlanIdx函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞在系统上执行任意命令

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51677 

2、
Huawei BiSheng-WNM FW拒绝服务漏洞(CNVD-2023-51675)

Huawei BiSheng-WNM FW是中国华为(Huawei)公司的一款华为打印机。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒绝服务漏洞,攻击者可利用此漏洞导致打印机服务异常

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51675 

3、
TOTOLINK A7100RU命令注入漏洞(CNVD-2023-51676)

TOTOLINK A7100RU是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK A7100RU存在命令注入漏洞,该漏洞源于cgi-bin/cstecgi.cgi的enabled参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞在系统上执行任意命令

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51676 

4、
畅捷通信息技术股份有限公司远程通CHANJET_Remote 2018和远程通CHANJET_Remote 2019存在SQL注入漏洞

畅捷通信息技术股份有限公司是一家致力于为小微企业、政府、公共事业及非营利组织提供专业、标准、灵活、易用的信息化产品及专业的服务的公司。畅捷通信息技术股份有限公司远程通CHANJET_Remote 2018和远程通CHANJET_Remote 2019存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-05486

5、
H3C Magic R300堆栈溢出漏洞(CNVD-2023-52052)

H3C Magic R300是中国新华三(H3C)公司的一款无线路由器。H3C Magic R300存在栈溢出漏洞,该漏洞是由于/goform/aspForm上的AddWlanMacList接口不正确边界检查引起的。攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-52052










C
N
V
D








C
N
V
D














广