第四师网络安全通报

发布：2023-08-02 来源：作者：编审：ice 浏览量：630

第四师网络安全通报

2023年第 24期

第四师可克达拉市网络与信息安全信息通报中心 2023年8月2日

上周关注度较高的产品安全漏洞(20230724-20230730)

一、境外厂商产品漏洞

1、IBM DB2拒绝服务漏洞（CNVD-2023-58522）

IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在拒绝服务漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58522

2、Mozilla Firefox资源管理错误漏洞（CNVD-2023-58298）

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox 115.0.2之前版本和Firefox ESR 115.0.2之前版本存在资源管理错误漏洞，该漏洞源于程序负责释放内存的指令发生混乱，攻击者可利用该漏洞导致潜在的可利用崩溃。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-58298

3、IBM DB2权限提升漏洞（CNVD-2023-58521）

IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2存在权限提升漏洞，攻击者可利用该漏洞通过在受影响服务的路径中插入可执行文件来获得提升的权限。

4、Linux kernel缓冲区溢出漏洞（CNVD-2023-58993）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在缓冲区溢出漏洞，该漏洞源于ksmbd中发现了一个问题，fs/ksmbd/smb2pdu.c在smb2_write的非填充情况下缺少长度验证。攻击者可利用该漏洞远程执行任意代码。

5、Trend Micro Mobile Security存在文件包含漏洞

Trend Micro Mobile Security是美国趋势科技（Trend Micro）公司的一套手机安全软件。该软件包括手机安全扫描、恶意程序实时防护和恶意行为监控等功能。Trend Micro Mobile Security存在文件包含漏洞，攻击者可利用该漏洞实现权限绕过。

二、境内厂商产品漏洞

1、Moxa SDS-3008跨站脚本漏洞

Moxa SDS-3008是中国摩莎（MOXA）公司的一系列工业交换机。Moxa SDS-3008存在跨站脚本漏洞，攻击者可利用该漏洞发送特制HTTP请求导致任意Javascript执行。

2、YznCMS跨站请求伪造漏洞

YznCMS是一个后台开发框架。YznCMS v1.1.0版本存在跨站请求伪造漏洞，该漏洞源于在/public/admin/profile/update.html中未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过构建POST请求更改管理员密码。

3、贵阳语玩科技有限公司语玩APP存在SQL注入漏洞

语玩APP是一款语音社交聊天软件。贵阳语玩科技有限公司语玩APP存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

4、学习通存在XSS漏洞

学习通是由北京世纪超星信息技术发展有限责任公司于2016年开发的一款集移动教学、移动学习、移动阅读、移动社交为一体的免费应用程序，仅支持移动端（Android / iOS / Harmony OS）。学习通存在XSS漏洞，攻击者可利用该漏洞获取用户cookie等敏感信息。

5、SEMCMS代码问题漏洞

SEMCMS是一套支持多种语言的外贸网站内容管理系统（CMS）。SEMCMS PHP 3.7版本存在代码问题漏洞，远程攻击者可利用该漏洞上传任意文件并获得升级的权限。