(20230515-20230521)

一、境外厂商产品漏洞

1、Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602)

Adobe Substance 3D Stager是美国奥多比(Adobe)公司的一个虚拟3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在缓冲区溢出漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37602

2、Schneider Electric IGSS Data Server缓冲区溢出漏洞(CNVD-2023-38194)

Schneider Electric Igss Data Server是法国施耐德电气(Schneider Electric)公司的一个交互式图形Scada系统的数据服务器。Schneider Electric IGSS Data Server 15.0.0.22140之前版本存在缓冲区溢出漏洞，该漏洞源于在处理未受信任的输入时出现边界错误，攻击者可利用该漏洞发送特制的时间缩短数据消息，导致内存损坏并在目标系统上执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-38194

3、IBM WebSphere Application Server跨站脚本漏洞(CNVD-2023-37168)

IBM WebSphere Application Server是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBM WebSphere软件平台的基础。IBM WebSphere Application Server存在跨站脚本漏洞。该漏洞允许用户在Web UI中嵌入任意JavaScript代码，从而改变预期的功能，可能导致可信会话中的凭据泄露。攻击者可利用该漏洞对目标有针对性的发起攻击，危害站点系统安全。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37168

4、Schneider Electric StruxureWare Data Center Expert访问控制错误漏洞(CNVD-2023-37594)

Schneider Electric StruxureWare Data Center Expert是法国施耐德电气(Schneider Electric)公司的一种监控软件。适用于各种组织监控其全公司范围内的电力、制冷、安全、环境。Schneider Electric StruxureWare Data Center Expert 7.9.2及之前版本存在访问控制错误漏洞，攻击者可利用该漏洞导致远程代码执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37594

5、Adobe Substance 3D Stager越界读取漏洞(CNVD-2023-37605)

Adobe Substance 3D Stager是美国奥多比(Adobe)公司的一个虚拟3D工作室。Adobe Substance 3D Stager 2.0.1及之前版本存在越界读取漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37605

二、境内厂商产品漏洞

1、Huawei EMUI和HarmonyOS信息泄露漏洞

Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是提供一个基于微内核的全场景分布式操作系统。Huawei EMUI和HarmonyOS存在信息泄露漏洞，该漏洞是由于内存管理模块中的逻辑绕过引起的。攻击者可利用此漏洞访问未经授权的信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-38962

2、D-Link DIR-605L堆栈缓冲区溢出漏洞

D-Link DIR-605L是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-605L 1.17B01 BETA版本存在堆栈缓冲区溢出漏洞，该漏洞是由于/goform/formTcpipSetup不正确的边界检查引起的。攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码，或者导致拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-39044

3、ZTE Zxhn F677目录遍历漏洞

ZTE Zxhn F677是中国中兴(ZTE)公司的一款双频无线路由器。ZTE Zxhn F677 9.0.0p1n29之前版本存在目录遍历漏洞。该漏洞源于缺乏对用户修改的目的路径的验证，攻击者可利用漏洞修改FTP访问路径进行访问，并在未经授权的情况下修改系统路径内容，从而造成信息泄露，影响设备运行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-39043

4、Huawei BiSheng-WNM FW拒绝服务漏洞

Huawei BiSheng-WNM FW是中国华为(Huawei)公司的一款华为打印机。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒绝服务漏洞，攻击者利用该漏洞导致拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-39041

5、ZTE MF297D信息泄露漏洞

ZTE MF297D是中国中兴(ZTE)公司的一款4G无线路由器。ZTE MF297D存在信息泄露漏洞，该漏洞源于存在密码问题漏洞。攻击者可利用该漏洞获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-39042

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源：CNVD漏洞平台