上周关注度较高的产品安全漏洞(20231016-20231022)
上周关注度较高的产品安全漏洞(20231016-20231022)
国家互联网应急中心CNCERT 2023-10-24 15:25
一、境外厂商产品漏洞
1、
IBM Aspera Faspex信息泄露漏洞
IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Aspera Faspex存在信息泄露漏洞,攻击者可利用该漏洞使用特制的XML输入获取敏感的凭据信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-76773
2、
Microsoft Edge权限提升漏洞(CNVD-2023-76765)
Microsoft Edge是美国微软(Microsoft)公司的一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge存在权限提升漏洞,攻击者可利用该漏洞在系统上获取更高的权限。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-76765
3、
IBM Aspera Cargo and IBM Aspera Connect代码执行漏洞
IBM Aspera是美国国际商业机器(IBM)公司的一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Aspera Cargo and IBM
Aspera Connect存在代码执行漏洞,该漏洞源于边界检查错误,攻击者可利用该漏洞在系统上执行任意代码
。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-76772
4、Adobe Photoshop缓冲区溢出漏洞(CNVD-2023-76927)
Adobe Photoshop
是美国奥多比(
Adobe
)公司的一套图片处理软件。该软件主要用于处理图片。
Adobe Photoshop
存在缓冲区溢出漏洞,该漏洞源于应用在处理不受信任的输入时出现边界错误。远程攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-76927
5、Dell Wyse Management Suite安全绕过漏洞
Dell Wyse Management Suite是美国戴尔(Dell)公司的一套用于管理和优化Wyse端点的、可扩展的解决方案。该产品包括Wyse端点集中管理、资产追踪和自动设备发现等功能。Dell Wyse Management Suite
4.0之前版本存在安全绕过漏洞,经过身份验证的攻击者可利用此漏洞将策略推送到未经授权的租户组。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78235
二、境内厂商产品漏洞
1、
Huawei HarmonyOS和EMUI类型混肴漏洞
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在类型混肴漏洞,攻击者可利用此漏洞导致设备重新启动
。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78240
2、TOTOLINK X5000R和A7000R UploadCustomModule函数堆栈溢出漏洞
TOTOLINK X5000R是一个路由器。TOTOLINK A7000R是一款无线路由器。TOTOLINK X5000R和A7000R UploadCustomModule函数存在堆栈溢出漏洞,攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务
。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78236
3、
D-Link DIR-846代码执行漏洞
D-Link DIR-846是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-846存在代码执行漏洞,攻击者可利用该漏洞执行任意代码
。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78313
4、TOTOLINK X5000R和A7000R setParentalRules函数堆栈溢出漏洞
TOTOLINK X5000R
是一个路由器。
TOTOLINK A7000R
是一款无线路由器。
TOTOLINK X5000R
和
A7000R setParentalRules
函数存在堆栈溢出漏洞,攻击者可利用该漏洞通过特制的
POST
请求引发拒绝服务(
DoS
)。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78237
5、
D-Link DIR-806命令执行漏洞
D-Link DIR-806
是中国友讯(
D-Link
)公司的一款无线路由器。
D-Link DIR-806
存在命令执行漏洞,该漏洞源于
REMOTE_PORT
参数未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞在系统上执行任意命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-78314
说
明
:
关
注
度
分
析
由
C
N
V
D
根
据
互
联
网
用
户
对
C
N
V
D
漏
洞
信
息
查
阅
情
况
以
及
产
品
应
用
广
泛
情
况
综
合
评
定
。