您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20230724-20230730)
一、境外廠商產(chǎn)品漏洞
1、IBM DB2拒絕服務(wù)漏洞(CNVD-2023-58522)
IBM DB2是美國國際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58522
2、Mozilla Firefox資源管理錯誤漏洞(CNVD-2023-58298)
Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox 115.0.2之前版本和Firefox ESR 115.0.2之前版本存在資源管理錯誤漏洞,該漏洞源于程序負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂,攻擊者可利用該漏洞導(dǎo)致潛在的可利用崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58298
3、IBM DB2權(quán)限提升漏洞(CNVD-2023-58521)
IBM DB2是美國國際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在權(quán)限提升漏洞,攻擊者可利用該漏洞通過在受影響服務(wù)的路徑中插入可執(zhí)行文件來獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58521
4、Linux kernel緩沖區(qū)溢出漏洞(CNVD-2023-58993)
Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在緩沖區(qū)溢出漏洞,該漏洞源于ksmbd中發(fā)現(xiàn)了一個問題,fs/ksmbd/smb2pdu.c在smb2_write的非填充情況下缺少長度驗證。攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58993
5、Trend Micro Mobile Security存在文件包含漏洞
Trend Micro Mobile Security是美國趨勢科技(Trend Micro)公司的一套手機(jī)安全軟件。該軟件包括手機(jī)安全掃描、惡意程序?qū)崟r防護(hù)和惡意行為監(jiān)控等功能。Trend Micro Mobile Security存在文件包含漏洞,攻擊者可利用該漏洞實現(xiàn)權(quán)限繞過。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58012
二、境內(nèi)廠商產(chǎn)品漏洞
1、Moxa SDS-3008跨站腳本漏洞
Moxa SDS-3008是中國摩莎(MOXA)公司的一系列工業(yè)交換機(jī)。Moxa SDS-3008存在跨站腳本漏洞,攻擊者可利用該漏洞發(fā)送特制HTTP請求導(dǎo)致任意Javascript執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58306
2、YznCMS跨站請求偽造漏洞
YznCMS是一個后臺開發(fā)框架。YznCMS v1.1.0版本存在跨站請求偽造漏洞,該漏洞源于在/public/admin/profile/update.html中未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過構(gòu)建POST請求更改管理員密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58830
3、貴陽語玩科技有限公司語玩APP存在SQL注入漏洞
語玩APP是一款語音社交聊天軟件。貴陽語玩科技有限公司語玩APP存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-19475
4、學(xué)習(xí)通存在XSS漏洞
學(xué)習(xí)通是由北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司于2016年開發(fā)的一款集移動教學(xué)、移動學(xué)習(xí)、移動閱讀、移動社交為一體的免費應(yīng)用程序,僅支持移動端(Android / iOS / Harmony OS)。學(xué)習(xí)通存在XSS漏洞,攻擊者可利用該漏洞獲取用戶cookie等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-22712
5、SEMCMS代碼問題漏洞
SEMCMS是一套支持多種語言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS PHP 3.7版本存在代碼問題漏洞,遠(yuǎn)程攻擊者可利用該漏洞上傳任意文件并獲得升級的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-58823
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺