欢迎来到第四师·可克达拉市网站
首页 >> 专题专栏 >> 网络安全 >> 详细内容
上周关注度较高的产品安全漏洞(20230424-20230507)
发布:2023-05-15 来源:  作者:  编审:ice  浏览量:382 


一、境外厂商产品漏洞

1、RIOT-OS缓冲区溢出漏洞

RIOT-OS是一个支持物联网设备的操作系统,包含一个能够处理6LoWPAN帧的网络堆栈。RIOT-OS 2022.10之前的版本存在缓冲区溢出漏洞,攻击者可以利用该漏洞执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-32178

2、Kiwi TCMS操作系统命令注入漏洞

Kiwi TCMS是Kiwi TCMS开源的一个用于手动和自动测试的领先开源测试管理系统。Kiwi TCMS 12.2之前版本存在操作系统命令注入漏洞,该漏洞源于使用了不受信任的字段,攻击者可利用该漏洞导致命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-32760

3、Apache Sling SlingRequestDispatcher跨站脚本漏洞

Apache Sling是美国阿帕奇(Apache)基金会的一个Java平台的开源Web框架。Apache Sling SlingRequestDispatcher存在跨站脚本漏洞,远程攻击者可利用该漏洞注入恶意脚本或HTML代码,当恶意数据被查看时,可获取敏感信息或劫持用户会话。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30853

4、Google Chrome ANGLE组件内存错误引用漏洞

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome 102.0.5005.61之前版本的ANGLE组件存在内存错误引用漏洞,该漏洞源于ANGLE组件程序负责释放内存的指令发生混乱。攻击者可利用漏洞通过创建特制网页,诱骗受害者访问它,在目标系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-33071

5、Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞(CNVD-2023-30866)

Microsoft PostScript Printer Driver是美国微软(Microsoft)公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是美国微软(Microsoft)公司的一个打印机驱动软件。Microsoft PostScript and PCL6 Class Printer Driver存在远程代码执行漏洞,攻击者可利用该漏洞远程执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30866

二、境内厂商产品漏洞

1、Tenda AC21 fromSetSysTime函数缓冲区溢出漏洞

Tenda AC21是中国腾达(Tenda)公司的一款无线路由器。Tenda AC21 V16.03.08.15版本存在缓冲区溢出漏洞,该漏洞源于/bin/httpd的fromSetSysTime函数对于输入数据缺乏长度检查,攻击者可利用漏洞通过有效载荷导致httpd重新启动。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-33064

2、Tenda AC21 setSmartPowerManagement函数缓冲区溢出漏洞

Tenda AC21是中国腾达(Tenda)公司的一款无线路由器。Tenda AC21 V16.03.08.15版本存在缓冲区溢出漏洞,该漏洞源于/bin/httpd的setSmartPowerManagement函数对于输入数据缺乏长度检查,攻击者可利用漏洞通过有效载荷导致httpd重新启动。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-33067

3、北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞(CNVD-2023-08743)

北京宏景世纪软件股份有限公司是国内专业的e-HR专业厂商。北京宏景世纪软件股份有限公司人力资源信息管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-08743

4、novel-plus SQL注入漏洞(CNVD-2023-32195)

novel-plus(小说精品屋-plus)是一个多端(PC、WAP)阅读、功能完善的原创文学CMS系统。novel-plus 3.6.2版本存在SQL注入漏洞,该漏洞源于文件/author/list?limit=10&offset=0&order=desc存在问题,对参数sort的操作会导致sql注入。攻击者可利用该漏洞执行非法SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-32195

5、TOTOLINK X5000R存在弱口令漏洞

TOTOLINK X5000R是一款千兆双频WiFi6路由器。TOTOLINK X5000R存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-30314