上周关注度较高的产品安全漏洞(20231211-20231217)

发布于 作者:

上周关注度较高的产品安全漏洞(20231211-20231217)

国家互联网应急中心CNCERT 2023-12-19 15:40

一、境外厂商产品漏洞

1、
Linux kernel nft_dynset_init函数拒绝服务漏洞

Linux kernel
是美国
Linux
基金会的开源操作系统
Linux
所使用的内核。
Linux kernel
存在拒绝服务漏洞,该漏洞源于函数
nft_dynset_init
存在空指针取消引用问题。攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-97693

2、
Dell DM5500权限提升漏洞

Dell DM5500
是美国戴尔(
Dell
)公司的一款集成解决方案。提供业界领先的重复数据删除、数据保护解决方案和多云功能。
Dell DM5500
存在权限提升漏洞,攻击者可利用该漏洞可以逃脱受限
shell
并获得设备的
root
访问权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-96703

3、
Google Android权限提升漏洞(CNVD-2023-96684)

Google Android
是美国谷歌(
Google
)公司的一套以
Linux
为基础的开源操作系统。
Google Android
存在权限提升漏洞,该漏洞源于蓝牙中的堆缓冲区溢出,攻击者可利用该漏洞导致权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-96684

4、Dell DM5500路径遍历漏洞

Dell DM5500
是美国戴尔(
Dell
)公司的一款集成解决方案。提供业界领先的重复数据删除、数据保护解决方案和多云功能。
Dell DM5500
存在路径遍历漏洞,该漏洞源于
PPOE
组件中未能正确地过滤资源或文件路径中的特殊元素,攻击者可利用该漏洞覆盖服务器文件系统上存储的文件

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-96706

5、Siemens SCALANCE M-800/S615系列操作系统命令注入漏洞

SCALANCE M-800

MUM-800

S615
以及
RUGGEDCOM RM1224
都是工业路由器。
Siemens SCALANCE M-800/S615
系列存在操作系统命令注入漏洞,攻击者可利用该漏洞在系统上执行命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-97258

二、境内厂商产品漏洞

1、
Tenda W30E formAdvancedSetListSet函数缓冲区溢出漏洞

Tenda W30E
是中国腾达(
Tenda
)公司的一款路由器。
Tenda W30E V16.01.0.12(4843)
版本存在缓冲区溢出漏洞,该漏洞源于函数
formAdvancedSetListSet
未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-98052

2、
达梦新云缓存数据库存在拒绝服务漏洞(CNVD-2023-94386)

达梦新云缓存数据库(
DMCDM
)是自主研发的深度兼容原生
Redis

Key-Value
数据库。达梦新云缓存数据库存在拒绝服务漏洞,攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-94386

3、
她理财APP存在逻辑缺陷漏洞(CNVD-2023-94870)

她理财APP是一款安全靠谱的手机理财软件。她理财APP存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-94870

4、浙江大华技术股份有限公司icc智能物联综合管理平台存在任意文件读取漏洞

浙江大华技术股份有限公司是领先的监控产品供应商和解决方案服务商。浙江大华技术股份有限公司
icc
智能物联综合管理平台存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-94428

5、Tenda AX9 /goform/setMacFilterCfg接口缓冲区溢出漏洞

Tenda AX9
是中国腾达(
Tenda
)公司的一款
Wi-Fi 6
路由器。
Tenda AX9 V22.03.01.46
版本存在缓冲区溢出漏洞,该漏洞源于
/goform/setMacFilterCfg
的“
deviceList
”参数未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-98045

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况
综合评定。