0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20230925-20231008)


一、境外厂商产品漏洞


1、IBM FileNet Content Manager Web UI跨站脚本漏洞

IBM FileNet Content Manager是一种灵活且功能齐全的内容管理解决方案。IBM FileNet Content Manager Web UI存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74534


2、Apache Flink代码注入漏洞

Apache Flink是美国Apache基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。Func是Knative开源的一个客户端库和CLI ,支持功能的开发和部署。Apache Flink Stateful Functions存在代码注入漏洞,该漏洞源于HTTP标头中CRLF序列的不正确中和,攻击者可利用该漏洞注入恶意内容到发送到用户浏览器的HTTP响应中。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-72234


3、Google libwebp代码执行漏洞

Libwebp是一个开源的用于编码和解码WebP图像格式的C/C++库。它提供了一组函数和工具,用于将图像数据编码为WebP格式,并将WebP格式的图像解码为原始图像数据。Libwebp库可以作为其他程序的依赖库,用于添加WebP图像格式的支持。Google libwebp存在代码执行漏洞,该漏洞是由于BuildHuffmanTable() 填充二级表时,可能会出现写入越界,攻击者可利用该漏洞在目标系统执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-73247


4、Mozilla Firefox进程创建两次释放漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox进程创建存在两次释放漏洞,远程攻击者可以利用改漏洞提交特殊的Web请求,诱使用户解析,可使应用程序崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74541


5、Linux Kernel eBPF本地权限提升漏洞

Linux Kernel是一款开源的操作系统。Linux Kernel eBPF处理存在安全漏洞,本地攻击者可利用改漏洞提交特殊的请求,可提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-74539


二、境内厂商产品漏洞


1、北京奥博威斯科技有限公司JeecgBoot存在命令执行漏洞

JeecgBoot是一款企业级的低代码平台。北京奥博威斯科技有限公司JeecgBoot存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69437


2、浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞(CNVD-2023-67975)

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-67975


3、北京网御星云信息技术有限公司网御上网行为管理系统Leadsec ACM存在SQL注入漏洞

北京网御星云信息技术公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及安全专业服务。北京网御星云信息技术有限公司网御上网行为管理系统Leadsec ACM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69422


4、太原易思软件技术有限公司智能物流无人值守系统存在文件上传漏洞

智能物流无人值守系统是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。太原易思软件技术有限公司智能物流无人值守系统存在文件上传漏洞,攻击者可利用该漏洞上传任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-69362


5、陕西锦华网络科技有限责任公司数字报后台管理系统存在文件上传漏洞

陕西锦华网络科技有限责任公司专注于新媒体软件开发和融媒体中心建设,向客户提供新媒体系列化解决方案、产品和服务。陕西锦华网络科技有限责任公司数字报后台管理系统存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-68768


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号