上周关注度较高的产品安全漏洞(20230522-20230528)

一、境外厂商产品漏洞

1、Adobe Substance 3D Painter越界读取漏洞（CNVD-2023-41408）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter 8.3.0及之前版本存在越界读取漏洞，攻击者可利用该漏洞在当前用户的上下文中执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-41408

2、Schneider Electric EcoStruxure Control Expert代码执行漏洞

Schneider Electric EcoStruxure Control Expert是法国施耐德电气（Schneider Electric）公司的一套用于Schneider Electric逻辑控制器产品的编程软件。Schneider Electric EcoStruxure Control Expert V15.1及之前版本存在代码执行漏洞，该漏洞源于存在资源暴露于错误领域，攻击者可利用该漏洞远程执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-40176

3、Prestashop路径遍历漏洞（CNVD-2023-41497）

PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。Prestashop 1.7.20及之前版本存在路径遍历漏洞，该漏洞源于odules/customexporter/downloads/download.php缺乏权限的控制和路径名构造的控制，攻击者可利用该漏洞通过路径遍历查看信息系统中的所有文件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-41497

4、Rockwell Automation ArmorStart ST跨站脚本漏洞

Rockwell Automation ArmorStart ST是美国罗克韦尔（Rockwell Automation）公司的一种用于机旁控制架构的简单而经济实用的解决方案。Rockwell Automation ArmorStart ST存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-40912

5、Cisco Identity Services Engine XML外部实体注入漏洞

Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco Identity Services Engine存在XML外部实体注入漏洞，经过身份验证的远程攻击者可利用该漏洞读取任意文件或通过受影响的设备进行服务器端请求伪造 (SSRF) 攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-40182

二、境内厂商产品漏洞

1、北京网瑞达科技有限公司WebVPN资源访问控制系统存在SSRF漏洞

WebVPN资源访问控制系统是一款为用户提供免客户端的资源便捷访问工具。北京网瑞达科技有限公司WebVPN资源访问控制系统存在SSRF漏洞，攻击者可利用该漏洞探测内网信息，获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-29023

2、北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在弱口令漏洞

资源访问控制系统（WebVPN）是一款为用户提供免客户端的资源便捷访问工具。北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在弱口令漏洞，攻击者可利用该漏洞批量登录VPN前台获取内部敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2021-84288

3、Tenda AC5代码执行漏洞