第四师网络安全通报
2023年第 22期
第四师可克达拉市网络与信息安全信息通报中心 2023年7月28日
上周关注度较高的产品安全漏洞(20230717-20230723)
一、境外厂商产品漏洞
1、Siemens Tecnomatix Plant Simulation堆栈缓冲区溢出漏洞(CNVD-2023-56535)
Siemens Tecnomatix Plant Simulation是德国西门子(Siemens)公司的工控设备,利用离散事件仿真进行生产量分析和优化,进而改善制造系统性能。Siemens Tecnomatix Plant Simulation存在堆栈缓冲区溢出漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。
2、Trend Micro Apex Central SQL注入漏洞(CNVD-2023-57659)
Trend Micro Apex Central是美国趋势科技(Trend Micro)公司的一个基于Web的控制台。Trend Micro Apex Central存在SQl注入漏洞,攻击者可利用该漏洞提交特殊的SQL请求,操作数据库,获取敏感信息或执行任意代码。
3、Adobe Acrobat Reader访问控制错误漏洞(CNVD-2023-57682)
Adobe Acrobat Reader是美国奥多比(Adobe)公司的一款PDF查看器。该软件用于打印,签名和注释PDF。Adobe Acrobat Reader存在访问控制错误漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。
4、Trend Micro Apex Central跨站脚本漏洞(CNVD-2023-57666)
Trend Micro Apex Central是美国趋势科技(Trend Micro)公司的一个基于Web的控制台。Trend Micro Apex Central存在跨站脚本漏洞,攻击者可利用该漏洞注入恶意脚本或HTML代码。
5、Linux kernel cedrus.c资源管理错误漏洞
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel 6.3.2之前版本存在安全漏洞,该漏洞源于在drivers/staging/media/sunxi/cedrus/cedrus.c中的cedrus_remove中的dm1105_remove中释放内存的指令发生混乱。攻击者可利用该漏洞导致程序崩溃,任意代码执行等。
二、境内厂商产品漏洞
1、H3C Magic R300堆栈溢出漏洞(CNVD-2023-57673)
H3C Magic R300是中国新华三(H3C)公司的一款无线路由器。H3C Magic R300存在堆栈溢出漏洞,该漏洞是由于/goform/aspForm上的AddMacList接口未能正确边界检查引起的。经过身份验证的远程攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码。
2、达梦企业管理器(DEM)存在未授权访问漏洞
达梦企业管理器(DEM)是一个通过Web界面来监控、管理并维护DM数据库的集中式管理平台。达梦企业管理器(DEM)存在未授权访问漏洞,攻击者可以利用该漏洞未授权访问存在重要数据的接口。
3、Tenda AC5 setSchedWifi函数缓冲区溢出漏洞
Tenda AC5是中国腾达(Tenda)公司的一款无线路由器。Tenda AC5 setSchedWifi函数存在缓冲区溢出漏洞,攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码。
4、Huawei HarmonyOS和EMUI AMS模块安全绕过漏洞
Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI AMS模块存在安全绕过漏洞,该漏洞是由于AMS模块中的输入验证不当造成的。攻击者可利用该漏洞绕过身份验证并获得管理访问权限。
5、Tenda AC5 R7WebsSecurityHandler函数缓冲区溢出漏洞
Tenda AC5是中国腾达(Tenda)公司的一款无线路由器。Tenda AC5 R7WebsSecurityHandler函数存在缓冲区溢出漏洞,攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码。
主办:第四师可克达拉市 承办:新疆兵团第四师可克达拉市政务服务中心
联系电话:0999-8182112 技术支持:0999-8189463
版权所有 Copyright @ 2013 第四师可克达拉市 All Rights Reserve
网站标识码 BT04000002 新ICP备17002193号-1
公网安备66040002000102
