您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230508-20230514)
一、境外廠商產(chǎn)品漏洞
1、Linux kernel雙重釋放漏洞(CNVD-2023-34466)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在雙重釋放漏洞,該漏洞源于TUN/TAP設(shè)備驅(qū)動程序中存在雙重釋放缺陷,攻擊者利用該漏洞可以使服務(wù)器崩潰或提升他們在系統(tǒng)上的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-34466
2、Google Android資源管理錯誤漏洞(CNVD-2023-36104)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在資源管理錯誤漏洞,該漏洞源于ParsingPackageUtils.java組件的parseUsesPermission存在存在不受控制的資源消耗,攻擊者可利用該漏洞導(dǎo)致出現(xiàn)引導(dǎo)循環(huán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36104
3、Google Android權(quán)限提升漏洞(CNVD-2023-36105)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,攻擊者可利用此漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36105
4、Microsoft PostScript and PCL6 Class Printer Driver遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-35222)
Microsoft PostScript Printer Driver是美國微軟(Microsoft)公司的用于PostScript打印機的Microsoft標(biāo)準(zhǔn)打印機驅(qū)動程序。Microsoft PCL6 Class Printer Driver是美國微軟(Microsoft)公司的一個打印機驅(qū)動軟件。Microsoft PostScript and PCL6 Class Printer Driver存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-35222
5、Google Android拒絕服務(wù)漏洞(CNVD-2023-36103)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在拒絕服務(wù)漏洞,該漏洞源于PreferencesHelper.java組件的未捕獲的異常,攻擊者可利用該漏洞導(dǎo)致設(shè)備卡在引導(dǎo)循環(huán)中。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36103
二、境內(nèi)廠商產(chǎn)品漏洞
1、Zyxel NBG6604命令注入漏洞
Zyxel NBG6604是一款中國合勤科技(Zyxel)公司的一款雙頻無線路由器。Zyxel NBG6604存在安全漏洞,遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請求,在系統(tǒng)上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36292
2、HongCMS跨站腳本漏洞(CNVD-2023-36284)
HongCMS是一套開源的輕量級內(nèi)容管理系統(tǒng)(CMS)。HongCMS 3.0版本存在跨站腳本漏洞,該漏洞源于通過/ajax/myshop的callback參數(shù)運行任意代碼。攻擊者利用該漏洞通過插入代碼執(zhí)行跨站腳本攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36284
3、EyouCms跨站腳本漏洞(CNVD-2023-36287)
EyouCms是一套基于ThinkPHP的開源內(nèi)容管理系統(tǒng)(CMS)。EyouCms V1.6.1-UTF8-sp1版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-36287
4、Huawei HiLink AI Life授權(quán)問題漏洞
Huawei HiLink AI Life是中國華為(Huawei)公司的全屋智能解決方案。Huawei HiLink AI Life存在授權(quán)問題漏洞,該漏洞源于該軟件存在著權(quán)限分配錯誤問題,攻擊者可利用該漏洞訪問受限的功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156
5、D-Link DIR-823G緩沖區(qū)溢出漏洞
D-Link DIR-823G是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-823G V1.0.2B05版本存在緩沖區(qū)溢出漏洞,該漏洞源于NewPassword參數(shù)參數(shù)在處理不受信任的輸入時出現(xiàn)邊界錯誤。遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-37157
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺