您所在的位置: 首页 >
安全研究 >
安全通告 >
上周关注度较高的产品安全漏洞
(20230116-20230129)
一、境外厂商产品漏洞
1、Mozilla Firefox访问控制错误漏洞(CNVD-2023-03068)
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在访问控制错误漏洞,该漏洞源于WebDriver中使用的Remote Agent不验证Host或Origin报头。攻击者可利用该漏洞强制浏览器在本地连接回用户的浏览器来控制它。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03068
2、Google Android权限提升漏洞(CNVD-2023-04551)
Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于AppRestrictionController.java的getBackgroundRestrictionExceptionReason代码中的逻辑错误,攻击者可利用该漏洞提升权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04551
3、Mozilla Firefox缓冲区溢出漏洞(CNVD-2023-03064)
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在缓冲区溢出漏洞,该漏洞源于意外的WebAuthN扩展导致内存写入越界。未认证的攻击者可利用该漏洞执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064
4、Google Chrome安全绕过漏洞(CNVD-2023-04548)
Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在安全绕过漏洞,该漏洞是由于安全浏览中的策略执行不足造成的。攻击者可利用此漏洞绕过安全限制。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04548
5、Mozilla Firefox输入验证错误漏洞(CNVD-2023-03059)
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在输入验证错误漏洞,该漏洞源于通过阅读器模式发起的请求未正确省略具有SameSite属性的cookie。攻击者可利用该漏洞提升权限在系统上执行任意代码或造成浏览器崩溃。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03059
二、境内厂商产品漏洞
1、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞
电子文档安全管理系统是一款电子文档安全加密软件。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04215
2、TongWeb管理控制台存在命令执行漏洞(CNVD-2022-16268)
TongWeb是北京东方通科技股份有限公司的一款应用服务器。TongWeb管理控制台存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16268
3、北京用友政务软件股份有限公司人大预算联网监督系统存在命令执行漏洞
北京用友政务软件股份有限公司是面向政府部门、事业单位、非营利组织的全方位业务管理信息化解决方案提供商。北京用友政务软件股份有限公司人大预算联网监督系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-01190
4、华天动力协同办公系统存在信息泄露漏洞
大连华天软件有限公司是按照国际先进管理模式和制度组建的高新技术企业,是一家以技术领先著称的协同管理软件公司。华天动力协同办公系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02782
5、用友GRP-U8存在命令执行漏洞(CNVD-2023-02755)
用友GRP-U8是用友公司专注于国家电子政务事业,基于云计算技术所推出的新一代产品,是我国行政事业财务领域的政府财务管理软件。用友GRP-U8存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-02755
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
来源: CNVD漏洞平台