0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20230109-20230115)


一、境外厂商产品漏洞


1、ZOHO ManageEngine ADManager Plus存在命令执行漏洞

ZOHO ManageEngine ADManager Plus是美国卓豪(ZOHO)公司的一套为使用Windows域的企业用户设计的微软活动目录管理软件。该软件能够协助AD管理员和帮助台技术人员进行日常管理工作,例如批量管理用户帐户和AD对象、给帮助台技术员指派基于角色的访问权限等。ZOHO ManageEngine ADManager Plus 7.1之前版本存在安全漏洞。经过身份验证的攻击者可利用该漏洞在代理设置中执行命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02270


2、Apache Kylin命令注入漏洞

Apache Kylin是美国阿帕奇(Apache)基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析(OLAP)等功能。Kylin存在命令注入漏洞,该漏洞源于黑名单存在被绕过的风险,攻击者利用该漏洞可以通过控制conf的kylin.engine.spark-cmd参数来控制命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02475


3、Mozilla Firefox缓冲区溢出漏洞(CNVD-2023-03064)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在缓冲区溢出漏洞,该漏洞源于意外的WebAuthN扩展导致内存写入越界。未认证的攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064


4、Apache Traffic Server异常情况处理错误漏洞

Apache Traffic Server(ATS)是美国阿帕奇(Apache)基金会的一套可扩展的HTTP代理和缓存服务器。Apache Traffic Server存在异常情况处理错误漏洞。攻击者可利用该漏洞在特定条件下导致服务器崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02476


5、Mozilla Firefox注入漏洞(CNVD-2023-03055)

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在注入漏洞,该漏洞源于未能执行Unsafe-Hashes CSP指令。攻击者可利用该漏洞注入可执行脚本。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03055


二、境内厂商产品漏洞


1、金电网安可信运维管理系统存在命令执行漏洞

金电网安可信运维管理系统提供专业的“人机”交互运维平台和专业的“人机”交付解决方案。金电网安可信运维管理系统存在命令执行漏洞,攻击者可利用该漏洞执行任意系统命令,获取系统最高权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-90048


2、Tenda A15 security_5g参数堆栈溢出漏洞

Tenda A15是中国腾达(Tenda)公司的一款WiFi扩展器。Tenda A15 security_5g参数存在堆栈溢出漏洞,该漏洞源于/goform/WifiBasicSet的security_5g参数对输入数据缺乏长度检查,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02257


3、华天动力OA系统存在任意文件下载漏洞

华天动力OA系统是由大连华天软件有限公司开发的协同办公软件。华天动力OA系统存在任意文件下载漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91045


4、Tenda A15 security参数堆栈溢出漏洞

Tenda A15是中国腾达(Tenda)公司的一款WiFi扩展器。Tenda A15 security参数存在堆栈溢出漏洞,该漏洞源于/goform/WifiBasicSet的security参数对输入数据缺乏长度检查,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02258


5、Tenda A15 wepkey参数堆栈溢出漏洞

Tenda A15是中国腾达(Tenda)公司的一款WiFi扩展器。Tenda A15 wepkey参数存在堆栈溢出漏洞,该漏洞源于/goform/WifiBasicSet的wepkey参数对输入数据缺乏长度检查,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02256


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源: CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号