上周关注度较高的产品安全漏洞(20230626-20230702)

一、境外厂商产品漏洞

1、Google Android缓冲区溢出漏洞（CNVD-2023-52817）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞，攻击者可利用该漏洞无需额外执行权限的情况下远程执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-52817

2、Linux kernel内存错误引用漏洞（CNVD-2023-51383）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在内存错误引用漏洞，该漏洞源于在fs/btrfs/relocation.c的prepare_to_relocate函数中负责释放内存的指令发生混乱。攻击者可利用该漏洞导致程序崩溃，任意代码执行等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51383  

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。Microsoft Exchange Server存在权限提升漏洞，攻击者可利用该漏洞获取SYSTEM权限。

参考链接：

二、境内厂商产品漏洞

1、TOTOLINK CP900命令注入漏洞

TOTOLINK CP900是中国吉翁电子（TOTOLINK）公司的一个无线路由器。TOTOLINK CP900存在命令注入漏洞，该漏洞源于setWebWlanIdx函数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51677 

2、Huawei BiSheng-WNM FW拒绝服务漏洞（CNVD-2023-51675）

Huawei BiSheng-WNM FW是中国华为（Huawei）公司的一款华为打印机。Huawei BiSheng-WNM FW 3.0.0.325版本存在拒绝服务漏洞，攻击者可利用此漏洞导致打印机服务异常。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51675 

3、TOTOLINK A7100RU命令注入漏洞（CNVD-2023-51676）

TOTOLINK A7100RU是中国吉翁电子（TOTOLINK）公司的一款无线路由器。TOTOLINK A7100RU存在命令注入漏洞，该漏洞源于cgi-bin/cstecgi.cgi的enabled参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用此漏洞在系统上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-51676 

4、畅捷通信息技术股份有限公司远程通CHANJET_Remote 2018和远程通CHANJET_Remote 2019存在SQL注入漏洞

畅捷通信息技术股份有限公司是一家致力于为小微企业、政府、公共事业及非营利组织提供专业、标准、灵活、易用的信息化产品及专业的服务的公司。畅捷通信息技术股份有限公司远程通CHANJET_Remote 2018和远程通CHANJET_Remote 2019存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-05486

5、H3C Magic R300堆栈溢出漏洞（CNVD-2023-52052）

H3C Magic R300是中国新华三（H3C）公司的一款无线路由器。H3C Magic R300存在栈溢出漏洞，该漏洞是由于/goform/aspForm上的AddWlanMacList接口不正确边界检查引起的。攻击者可利用该漏洞使缓冲区溢出并在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-52052

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。