(20230724-20230730)

一、境外廠商產(chǎn)品漏洞

1、IBM DB2拒絕服務(wù)漏洞(CNVD-2023-58522)

IBM DB2是美國國際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在拒絕服務(wù)漏洞，攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58522

2、Mozilla Firefox資源管理錯誤漏洞(CNVD-2023-58298)

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox 115.0.2之前版本和Firefox ESR 115.0.2之前版本存在資源管理錯誤漏洞，該漏洞源于程序負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂，攻擊者可利用該漏洞導(dǎo)致潛在的可利用崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58298

3、IBM DB2權(quán)限提升漏洞(CNVD-2023-58521)

IBM DB2是美國國際商業(yè)機(jī)器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2存在權(quán)限提升漏洞，攻擊者可利用該漏洞通過在受影響服務(wù)的路徑中插入可執(zhí)行文件來獲得提升的權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58521

4、Linux kernel緩沖區(qū)溢出漏洞(CNVD-2023-58993)

Linux kernel是美國Linux基金會的開源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在緩沖區(qū)溢出漏洞，該漏洞源于ksmbd中發(fā)現(xiàn)了一個問題，fs/ksmbd/smb2pdu.c在smb2_write的非填充情況下缺少長度驗證。攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58993

5、Trend Micro Mobile Security存在文件包含漏洞

Trend Micro Mobile Security是美國趨勢科技(Trend Micro)公司的一套手機(jī)安全軟件。該軟件包括手機(jī)安全掃描、惡意程序?qū)崟r防護(hù)和惡意行為監(jiān)控等功能。Trend Micro Mobile Security存在文件包含漏洞，攻擊者可利用該漏洞實現(xiàn)權(quán)限繞過。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58012

二、境內(nèi)廠商產(chǎn)品漏洞

1、Moxa SDS-3008跨站腳本漏洞

Moxa SDS-3008是中國摩莎(MOXA)公司的一系列工業(yè)交換機(jī)。Moxa SDS-3008存在跨站腳本漏洞，攻擊者可利用該漏洞發(fā)送特制HTTP請求導(dǎo)致任意Javascript執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58306

2、YznCMS跨站請求偽造漏洞

YznCMS是一個后臺開發(fā)框架。YznCMS v1.1.0版本存在跨站請求偽造漏洞，該漏洞源于在/public/admin/profile/update.html中未充分驗證請求是否來自可信用戶。攻擊者可利用該漏洞通過構(gòu)建POST請求更改管理員密碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58830

3、貴陽語玩科技有限公司語玩APP存在SQL注入漏洞

語玩APP是一款語音社交聊天軟件。貴陽語玩科技有限公司語玩APP存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-19475

4、學(xué)習(xí)通存在XSS漏洞

學(xué)習(xí)通是由北京世紀(jì)超星信息技術(shù)發(fā)展有限責(zé)任公司于2016年開發(fā)的一款集移動教學(xué)、移動學(xué)習(xí)、移動閱讀、移動社交為一體的免費應(yīng)用程序，僅支持移動端(Android / iOS / Harmony OS)。學(xué)習(xí)通存在XSS漏洞，攻擊者可利用該漏洞獲取用戶cookie等敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-22712

5、SEMCMS代碼問題漏洞

SEMCMS是一套支持多種語言的外貿(mào)網(wǎng)站內(nèi)容管理系統(tǒng)(CMS)。SEMCMS PHP 3.7版本存在代碼問題漏洞，遠(yuǎn)程攻擊者可利用該漏洞上傳任意文件并獲得升級的權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58823

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。

來源：CNVD漏洞平臺