您所在的位置:首页 > 预警信息
上周关注度较高的产品安全漏洞(20231106-20231112)
2023-11-20 10:24:24    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、IBM Security Verify Governance命令执行漏洞

IBM Security Verify Governance是美国国际商业机器(IBM)公司的一个智能身份访问平台。为组织提供了一个平台来分析、定义和控制用户访问和访问风险。IBM Security verify Governance存在命令执行漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。经过身份验证的远程攻击者可利用该漏洞通过发送特制请求来在系统上执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83660

2、Microsoft Message Queuing远程代码执行漏洞(CNVD-2023-84126)

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。Microsoft Message Queuing存在远程代码执行漏洞,攻击者可利用该漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84126

3、Google Android权限提升漏洞(CNVD-2023-84086)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞导致本地特权提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84086

4、HCL Technologies Commerce目录遍历漏洞

HCL Technologies Commerce是美国HCL Technologies公司的一款用于电子商务的软件平台框架。该软件在可定制的集成软件包中包括营销,销售,客户和订单处理功能。HCL Technologies Commerce存在目录遍历漏洞,攻击者可利用该漏洞使用特制的URL读取系统上的任意文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84324

5、Google Android权限提升漏洞(CNVD-2023-84095)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞,攻击者可利用该漏洞导致本地权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84095

二、境内厂商产品漏洞

1、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞

D-Link DAR-7000是中国友讯(D-Link)公司的一款上网行为审计网关。D-Link DAR-7000 mailrecvview.php文件存在SQL注入漏洞,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85604

2、Huawei HarmonyOS和EMUI授权问题漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。Huawei HarmonyOS和EMUI存在授权问题漏洞,该漏洞源于窗口管理模块存在权限校验不严格。攻击者可利用此漏洞导致功能异常运行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-84323

3、云南链滴科技有限公司思源笔记软件Web应用存在XSS漏洞
思源笔记软件Web应用是一款隐私优先的个人知识管理系统,支持完全离线使用,同时也支持端到端加密同步。云南链滴科技有限公司思源笔记软件Web应用存在XSS漏洞,攻击者可利用该漏洞获取用户cookie等敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83033

4、易思智能物流无人值守系统存在任意文件读取漏洞

易思智能物流无人值守系统是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。易思智能物流无人值守系统存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-82960

5、D-Link DAR-7000 importexport.php文件SQL注入漏洞

D-Link DAR-7000是中国友讯(D-Link)公司的一款上网行为审计网关。D-Link DAR-7000 importexport.php文件存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85603

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。