正文

上周关注度较高的产品安全漏洞(20231113-20231119)

admin
admin V管理员 /0 评论 /159 阅读
1120
此篇文章发布距今已超过369天,您需要注意文章的内容或图片是否可用!

一、境外厂商产品漏洞

1、Microsoft Office Visio远程代码执行漏洞(CNVD-2023-85905)

Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。Microsoft Office Visio存在远程代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85905

2、Apache Airflow代码执行漏洞

Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Airflow HDFS Provider存在代码执行漏洞,该漏洞源于文档信息指示用户安装了错误的pip软件包,该包名称无人认领,攻击者可利用该漏洞造成任意代码执行。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85613

3、Siemens COMOS访问控制错误漏洞

COMOS是一个用于协同工厂设计、运营和管理的统一数据平台,支持在整个工厂生命周期内收集、处理、保存和分发信息。Siemens COMOS存在访问控制错误漏洞,攻击者可利用该漏洞访问用户无访问权限的文件。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-86340

4、Microsoft Office Visio远程代码执行漏洞(CNVD-2023-85902)

Microsoft Office Visio是美国微软(Microsoft)公司的Office软件系列中的负责绘制流程图和示意图的软件。Microsoft Office Visio存在远程代码执行漏洞,攻击者可利用此漏洞在系统上执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85902

5、Cisco Finesse拒绝服务漏洞

Cisco Finesse是美国思科(Cisco)公司的一套呼叫中心管理软件。Cisco Finesse存在拒绝服务漏洞,该漏洞源于反向代理不正确的IP地址过滤,攻击者可利用该漏洞导致拒绝服务(DoS)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-85956


二、境内厂商产品漏洞

1、达梦企业管理器存在逻辑缺陷漏洞

达梦企业管理器是一个通过Web界面来监控、管理并维护DM数据库的集中式管理平台。达梦企业管理器存在逻辑缺陷漏洞,攻击者可利用该漏洞删除任意操作系统文件,导致系统不可用。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-83023

2、IceCMS跨站请求伪造漏洞

IceCMS是一个基于Spring Boot + Vue前后端分离的内容管理系统。IceCMS v2.0.1版本存在跨站请求伪造漏洞,该漏洞源于WEB应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-86329

3、达梦企业管理器(DEM)存在命令执行漏洞(CNVD-2023-69447)

达梦企业管理器(DEM)是一个通过Web界面来监控、管理并维护DM数据库的集中式管理平台。达梦企业管理器(DEM)存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-69447

4、gougucms跨站脚本漏洞

gougucms是中国勾股开源开源的一套基于ThinkPHP6 + Layui + MySql打造的轻量级的通用后台管理框架。gougucms v4.08.18版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过headimgurl参数注入精心设计的有效负载,执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-86333

5、Jspxcms跨站脚本漏洞

Jspxcms是一套可扩展的企业级开源网站内容管理系统(CMS)。Jspxcms v10.2.0版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-86330

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网