上周关注度较高的产品安全漏洞(20230220-20230226)

一、境外厂商产品漏洞

1、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-10619）

Siemens Tecnomatix Plant Simulation是面向对象的、图形化的、集成的建模、仿真工具。Siemens Tecnomatix Plant Simulation存在越界写入漏洞，该漏洞是由于受影响的应用程序在解析特制的SPP文件时包含超出已分配缓冲区末尾的越界写入。攻击者可利用该在当前进程的上下文中执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10619

2、Ingredients Stock Management System SQL注入漏洞（CNVD-2023-11173）

Ingredients Stock Management System是Carlo Montero个人开发者的一个配料库存管理系统。Ingredients Stock Management System v1.0版本存在SQL注入漏洞，该漏洞源于/admin/?page=reports/stockin＆month=处的month参数缺少对外部输入SQL语句的验证，攻击者可利用该漏洞执行非法SQL命令窃取数据库数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-11173

3、Google TensorFlow输入验证错误漏洞（CNVD-2023-10611）

Google TensorFlow是美国谷歌（Google）公司的一套用于机器学习的端到端开源平台。Google TensorFlow存在输入验证错误漏洞，该漏洞源于如果QuantizedAdd被赋予min_input或max_input非零等级的张量会出现分段错误，攻击者可利用该漏洞触发拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-10611

4、OTFCC代码问题漏洞（CNVD-2023-12008）

OTFCC是Caryll开源的一个C库和实用程序。用于解析和编写OpenType字体文件。OTFCC 0.10.4版本存在代码问题漏洞，该漏洞源于/release-x64/otfccdump+0x4fe9a7文件中存在分段违规问题。攻击者可利用该漏洞导致程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-12008

5、IBM InfoSphere Information Server跨站脚本漏洞（CNVD-2023-11689）

IBM InfoSphere Information Server是企业级信息集成平台。它能够帮助客户理解异构系统中的各种复杂信息，并且通过清洗和转换生成一致、完整的可信赖信息，最后将可信赖信息以各种方式交付给各种业务系统。IBM InfoSphere Information Server 11.7版本存在跨站脚本漏洞，攻击者可以利用该漏洞注入恶意的JavaScript脚本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-11689

二、境内厂商产品漏洞

1、亿赛通电子文档安全管理系统存在任意文件读取漏洞（CNVD-2023-09184）

亿赛通电子文档安全管理系统是一款电子文档安全加密软件。亿赛通电子文档安全管理系统存在任意文件读取漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-09184

2、北京力控元通科技有限公司ForceControl存在逻辑缺陷漏洞

ForceControl是一款通用型的人机可视化监控组态软件，是国内率先以分布式实时数据库技术作为内核的自动化软件产品。北京力控元通科技有限公司ForceControl存在逻辑缺陷漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-08750

3、SEMCMS Ant_Pro.php SQL注入漏洞