欢迎来到第四师·可克达拉市网站
首页 >> 专题专栏 >> 网络安全 >> 详细内容
第四师网络安全通报
发布:2023-11-14 来源:  作者:  编审:ice  浏览量:439 

第四师网络安全通报

2023年第51期

第四师可克达拉市网络与信息安全信息通报中心    202311月13日

上周关注度较高的产品安全漏洞(20231106-20231112)

一、境外厂商产品漏洞

1IBM Security Verify Governance命令执行漏洞

IBM Security Verify Governance是美国国际商业机器(IBM)公司的一个智能身份访问平台。为组织提供了一个平台来分析、定义和控制用户访问和访问风险。IBM Security verify Governance存在命令执行漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。经过身份验证的远程攻击者可利用该漏洞通过发送特制请求来在系统上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-83660

2Microsoft Message Queuing远程代码执行漏洞(CNVD-2023-84126

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。Microsoft Message Queuing存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84126

3Google Android权限提升漏洞(CNVD-2023-84086

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞导致本地特权提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84086

4HCL Technologies Commerce目录遍历漏洞

HCL Technologies Commerce是美国HCL Technologies公司的一款用于电子商务的软件平台框架。该软件在可定制的集成软件包中包括营销,销售,客户和订单处理功能。HCL Technologies Commerce存在目录遍历漏洞,攻击者可利用该漏洞使用特制的URL读取系统上的任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84324

5Google Android权限提升漏洞(CNVD-2023-84095

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞导致本地权限提升。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84095

二、境内厂商产品漏洞

1D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞

D-Link DAR-7000是中国友讯(D-Link)公司的一款上网行为审计网关。D-Link DAR-7000 mailrecvview.php文件存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85604

2Huawei HarmonyOSEMUI授权问题漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在授权问题漏洞,该漏洞源于窗口管理模块存在权限校验不严格。攻击者可利用此漏洞导致功能异常运行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-84323

3、云南链滴科技有限公司思源笔记软件Web应用存在XSS漏洞

思源笔记软件Web应用是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。云南链滴科技有限公司思源笔记软件Web应用存在XSS漏洞,攻击者可利用该漏洞获取用户cookie等敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-83033

4、易思智能物流无人值守系统存在任意文件读取漏洞

易思智能物流无人值守系统是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。易思智能物流无人值守系统存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-82960

5D-Link DAR-7000 importexport.php文件SQL注入漏洞

D-Link DAR-7000是中国友讯(D-Link)公司的一款上网行为审计网关。D-Link DAR-7000 importexport.php文件存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-85603

[打印文章] [添加收藏]
站点地图|关于网站|联系我们

主办:第四师可克达拉市 承办:新疆兵团第四师可克达拉市政务服务中心
联系电话:0999-8182112 技术支持:0999-8189463
版权所有 Copyright @ 2013 第四师可克达拉市 All Rights Reserve
网站标识码 BT04000002 新ICP备17002193号-1 公网安备66040002000102

政府网站找错