0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20230206-20230212)


一、境外厂商产品漏洞


1、WordPress 15Zine跨站脚本漏洞

WordPress是WordPress(Wordpress)基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Wordpress 15Zine 3.3.0之前版本存在跨站脚本漏洞,该漏洞源于产品未对cb_s_a请求中cbi参数数据中的特殊字符进行有效处理。攻击者可利用该漏洞导致反射的跨站点脚本。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06538


2、WordPress PowerPack Lite for Beaver Builder plugin跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress PowerPack Lite for Beaver Builder插件1.2.9.3之前版本存在跨站脚本漏洞,该漏洞源于插件在输出到管理页面之前未能对标签参数进行过滤和转义,攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06541


3、WordPress plugin Custom Content Shortcode访问控制错误漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress的一个应用插件。WordPress plugin Custom Content Shortcode 4.0.2之前版本存在访问控制错误漏洞,该漏洞源于插件未能验证传递给其加载简码的数据。攻击者可利用该漏洞允许Contributor+(v<4.0.1)或Admin+(v<4.0.2)用户显示文件系统中的任意文件(例如日志、.htaccess等),以及在执行PHP文件时执行本地文件包含攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06537


4、Google Android权限提升漏洞(CNVD-2023-07647)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,该漏洞是由于NotificationChannel.java组件的NotificationChannel中的资源耗尽漏洞,攻击者可利用该漏洞获得提升的权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07647


5、Google Android权限提升漏洞(CNVD-2023-07675)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07675


二、境内厂商产品漏洞


1、浙江大华技术股份有限公司车载监控平台存在命令执行漏洞

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司车载监控平台存在命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-06423


2、Foxit PDF Reader内存错误引用漏洞(CNVD-2023-07828)

Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit PDF Reader 12.0.1.12430版本存在内存错误引用漏洞,攻击者可利用该漏洞导致任意代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07828


3、Tenda AC23堆栈溢出漏洞

Tenda AC23是中国腾达(Tenda)公司的一款双频千兆无线路由器。Tenda AC23存在堆栈溢出漏洞,攻击者可利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07906


4、Foxit PDF Reader deletePages远程代码执行漏洞

Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit PDF Reader deletePages存在远程代码执行漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07865


5、Foxit PDF Reader Doc对象远程代码执行漏洞

Foxit PDF Reader是中国福昕(Foxit)公司的一款PDF阅读器。Foxit PDF Reader Doc对象存在远程代码执行漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-07866


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号