上周关注度较高的产品安全漏洞(20230327-20230402)

一、境外厂商产品漏洞

1、LS ELECTRIC XBC-DN32U拒绝服务漏洞

LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。LS ELECTRIC XBC-DN32U存在拒绝服务漏洞，该漏洞源于访问在通信缓冲区之外的内存位置时设备将停止运行，攻击者可利用该漏洞造成拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21683

2、IBM Financial Transaction Manager目录遍历漏洞（CNVD-2023-20086）

IBM Financial Transaction Manager是美国国际商业机器（IBM）公司的一款金融事务管理器。IBM Financial Transaction Manager存在目录遍历安全漏洞，远程攻击者可以利用该漏洞提交特殊的请求，在应用程序上下文查看系统文件内容，获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-20086

3、Google Android越界写入漏洞（CNVD-2023-21685）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在越界写入漏洞，攻击者可利用该漏洞导致需要系统执行特权的本地信息公开。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21685

4、IBM WebSphere Application Server输入验证错误漏洞（CNVD-2023-20087）

IBM WebSphere Application Server（WAS）是美国国际商业机器（IBM）公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台，也是IBMWebSphere软件平台的基础。IBM WebSphere Application Server HTTP Server 8.5版本存在输入验证错误漏洞，该漏洞源于未对输入的错误消息做正确的处理，远程攻击者可利用该漏洞通过使用特制URL导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-20087

5、LS ELECTRIC XBC-DN32U访问控制错误漏洞（CNVD-2023-21680）

LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款 PLC 可编程逻辑控制器。LS ELECTRIC XBC-DN32U 01.80版本存在访问控制错误漏洞，该漏洞源于缺少对PLC执行关键功能的身份验证，攻击者可利用该漏洞任意更改PLC的模式。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21680

二、境内厂商产品漏洞

1、Tenda AX3缓冲区溢出漏洞（CNVD-2023-21669）

Tenda Ax3是中国腾达（Tenda）公司的一款Ax1800千兆端口双频Wifi 6无线路由器。Tenda AX3 V16.03.12.11存在缓冲区溢出漏洞，该漏洞源于/goform/WifiGuestSet中的shareSpeed参数未能正确验证用户输入，攻击者可利用该漏洞导致远程代码执行或者拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21669

2、D-Link DWL-2600AP命令注入漏洞

D-Link DWL-2600AP是中国友讯（D-Link）公司的一款无线接入点设备。D-Link DWL-2600AP存在命令注入漏洞，攻击者可利用该漏洞以root身份执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21664

3、TOTOLINK A950RG存在命令执行漏洞

TOTOLINK A950RG是一款无线路由器。TOTOLINK A950RG存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-19487

4、北京亚控科技发展有限公司KingPortal开发系统存在未授权访问漏洞

北京亚控科技发展有限公司是一家自动化软件平台高科技企业。北京亚控科技发展有限公司KingPortal开发系统存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。