上周关注度较高的产品安全漏洞

(20231127-20231203)

一、境外厂商产品漏洞

1、Microsoft Skype for Business远程代码执行漏洞

Microsoft Skype for Business Server是美国微软（Microsoft）公司的一套安全统一的通信平台，它提供即时消息(IM)、音频和视频通话、联机会议、联机状态信息和共享功能。Microsoft Skype for Business存在远程代码执行漏洞，攻击者可利用此漏洞在系统上执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-92199

2、Apache InLong反序列化漏洞（CNVD-2023-93323）

Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache InLong存在反序列化漏洞，该漏洞源于应用程序在接收用户提交的序列化数据的不安全反序列化处理，攻击者可利用该漏洞导致代码执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-93323

3、Cisco Duo身份验证错误漏洞

Cisco Duo是美国思科（Cisco）公司的一个完全托管的解决方案。提供对您的应用程序和数据的安全访问。Cisco Duo Two-Factor Authentication存在身份验证错误漏洞，该漏洞源于在应用程序配置为失效开放时不正确地处理来自 Cisco Duo的响应所致，经过身份验证的物理攻击者可利用该漏洞绕过辅助身份验证访问macOS设备。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-93335

4、Apache Traffic Server输入验证错误漏洞（CNVD-2023-93321）

Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。Apache Traffic Server存在输入验证错误漏洞，该漏洞源于HTTP/2帧格式错误，容易受到HTTP/2和s3身份验证插件攻击。攻击者可利用该漏洞导致拒绝服务。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-93321

5、Microsoft Skype for Business远程代码执行漏洞（CNVD-2023-92200）

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-92200

二、境内厂商产品漏洞

1、启明星辰天玥网络安全审计系统存在文件上传漏洞

天玥网络安全审计系统是针对业务环境下用户对网络内的核心IT资产和服务器进行的操作行为进行细粒度审计的合规性管理系统。启明星辰天玥网络安全审计系统存在文件上传漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-86949

2、用友UAP系统存在信息泄露漏洞

用友网络科技股份有限公司是一家全球领先的企业云服务与软件提供商。用友UAP系统存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-91706

3、北京亿赛通科技发展有限责任公司电子文档安全管理系统存在信息泄露漏洞（CNVD-2023-86622）

北京亿赛通科技发展有限责任公司是国内领先的数据安全业务供应商。北京亿赛通科技发展有限责任公司电子文档安全管理系统存在信息泄露漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-86622

4、用友U8 Cloud存在命令执行漏洞（CNVD-2023-91638）

用友网络科技股份有限公司是一家企业云服务与软件提供商。用友U8 Cloud存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-91638

5、TomExam跨站脚本漏洞

TomExam是一款免费高效的网络考试系统软件。TomExam 3.0版本存在跨站脚本（XSS）漏洞，攻击者可利用该漏洞通过p_name参数传递给list.thtml，导致跨站脚本(XSS)。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-93550

[打印文章] [添加收藏]