您所在的位置: 首页 >
安全研究 >
安全通告 >
上周关注度较高的产品安全漏洞
(20230130-20230205)
一、境外厂商产品漏洞
1、Adobe InCopy缓冲区溢出漏洞(CNVD-2023-05231)
Adobe InCopy是Adobe公司出品的一个应用程序,用于专业的文字处理。Adobe InCopy 17.3和16.4.2以及之前版本存在缓冲区溢出漏洞,攻击者可利用该漏洞在当前用户的上下文中任意执行代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05231
2、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)
IBM Sterling B2B Integrator是美国国际商业机器(IBM)公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM Sterling B2B Integrator Standard Edition存在SQL注入漏洞,攻击者可利用该漏洞发送特制的SQL语句,查看、添加、修改或删除后端数据库中的信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05240
3、Apache Superset跨站请求伪造漏洞
Apache Superset是美国阿帕奇(Apache)基金会的一个数据可视化和数据探索平台。Apache Superset存在跨站请求伪造漏洞,该漏洞源于用于批准和请求访问的两个遗留REST API未能正确验证用户输入,攻击者可利用该漏洞探测服务器内网资源。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05218
4、Lead Management System SQL注入漏洞
Lead management system是Mayuri K.个人开发者的一个潜在客户管理系统。Lead Management System 1.0版本存在SQL注入漏洞,该漏洞源于文件login.php的参数username缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05746
5、F5 BIG-IP AWAF和ASM拒绝服务漏洞
F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。F5 BIG-IP AWAF和ASM存在拒绝服务漏洞,当在虚拟服务器上配置BIG-IP Advanced WAF或BIG-IP ASM安全策略时,未公开的请求会导致内存资源利用率增加,未经身份验证的远程攻击者可利用该漏洞导致服务降级,从而导致BIG-IP系统上的拒绝服务。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05959
二、境内厂商产品漏洞
1、浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞(CNVD-2023-03860)
浙江大华技术股份有限公司是以视频为核心的智慧物联解决方案供应商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-03860
2、D-Link DIR-859命令注入漏洞
D-Link DIR-859是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-859A1 1.05存在安全漏洞,该漏洞源于D-Link DIR-859A1 1.05被发现通过soapcgi_main函数中的service=变量包含一个命令注入漏洞。目前没有详细漏洞细节提供。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05403
3、武汉达梦数据库有限公司达梦数据库管理系统存在逻辑缺陷漏洞
达梦数据库管理系统是达梦公司推出的具有完全自主知识产权的高性能数据库管理系统,简称DM。武汉达梦数据库有限公司达梦数据库管理系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84028
4、普联技术有限公司TL-WDR7660 httpProcDataSrv任意代码执行漏洞
TL-WDR7660是中国普联(TP-LINK)公司的一款千兆路由器。普联技术有限公司TL-WDR7660 httpProcDataSrv任意代码执行漏洞,远程攻击者可利用该漏洞提交特殊的请求,在应用程序上下文执行任意代码。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-05404
5、北京亚控科技发展有限公司KingFusion开发系统存在弱口令漏洞
KingFusion是一款面向工业企业执行层的生产信息化管理系统。北京亚控科技发展有限公司KingFusion开发系统存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-04112
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
来源:CNVD漏洞平台