上周關(guān)注度較高的產(chǎn)品安全漏洞

(20230508-20230514)

一、境外廠商產(chǎn)品漏洞

1、Linux kernel雙重釋放漏洞(CNVD-2023-34466)

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在雙重釋放漏洞，該漏洞源于TUN/TAP設(shè)備驅(qū)動程序中存在雙重釋放缺陷，攻擊者利用該漏洞可以使服務(wù)器崩潰或提升他們在系統(tǒng)上的權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-34466

2、Google Android資源管理錯誤漏洞(CNVD-2023-36104)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在資源管理錯誤漏洞，該漏洞源于ParsingPackageUtils.java組件的parseUsesPermission存在存在不受控制的資源消耗，攻擊者可利用該漏洞導(dǎo)致出現(xiàn)引導(dǎo)循環(huán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36104

3、Google Android權(quán)限提升漏洞(CNVD-2023-36105)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞，攻擊者可利用此漏洞提升權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36105

4、Microsoft PostScript and PCL6 Class Printer Driver遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-35222)

Microsoft PostScript Printer Driver是美國微軟(Microsoft)公司的用于PostScript打印機的Microsoft標(biāo)準(zhǔn)打印機驅(qū)動程序。Microsoft PCL6 Class Printer Driver是美國微軟(Microsoft)公司的一個打印機驅(qū)動軟件。Microsoft PostScript and PCL6 Class Printer Driver存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-35222

5、Google Android拒絕服務(wù)漏洞(CNVD-2023-36103)

Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在拒絕服務(wù)漏洞，該漏洞源于PreferencesHelper.java組件的未捕獲的異常，攻擊者可利用該漏洞導(dǎo)致設(shè)備卡在引導(dǎo)循環(huán)中。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36103

二、境內(nèi)廠商產(chǎn)品漏洞

1、Zyxel NBG6604命令注入漏洞

Zyxel NBG6604是一款中國合勤科技(Zyxel)公司的一款雙頻無線路由器。Zyxel NBG6604存在安全漏洞，遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請求，在系統(tǒng)上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36292

2、HongCMS跨站腳本漏洞(CNVD-2023-36284)

HongCMS是一套開源的輕量級內(nèi)容管理系統(tǒng)(CMS)。HongCMS 3.0版本存在跨站腳本漏洞，該漏洞源于通過/ajax/myshop的callback參數(shù)運行任意代碼。攻擊者利用該漏洞通過插入代碼執(zhí)行跨站腳本攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36284

3、EyouCms跨站腳本漏洞(CNVD-2023-36287)

EyouCms是一套基于ThinkPHP的開源內(nèi)容管理系統(tǒng)(CMS)。EyouCms V1.6.1-UTF8-sp1版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過注入精心設(shè)計的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36287

4、Huawei HiLink AI Life授權(quán)問題漏洞

Huawei HiLink AI Life是中國華為(Huawei)公司的全屋智能解決方案。Huawei HiLink AI Life存在授權(quán)問題漏洞，該漏洞源于該軟件存在著權(quán)限分配錯誤問題，攻擊者可利用該漏洞訪問受限的功能。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156

5、D-Link DIR-823G緩沖區(qū)溢出漏洞

D-Link DIR-823G是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-823G V1.0.2B05版本存在緩沖區(qū)溢出漏洞，該漏洞源于NewPassword參數(shù)參數(shù)在處理不受信任的輸入時出現(xiàn)邊界錯誤。遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37157

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺