正文

上周关注度较高的产品安全漏洞(20231225-20231231)

admin
admin V管理员 /0 评论 /175 阅读
0102
此篇文章发布距今已超过418天,您需要注意文章的内容或图片是否可用!

一、境外厂商产品漏洞

1、SAP PowerDesigner输入验证错误漏洞

SAP PowerDesigner是德国思爱普(SAP)公司的一款数据库设计软件。SAP PowerDesigner 16.7版本存在输入验证错误漏洞,该漏洞源于无法充分验证从不受信任的来源导入的BPMN2 XML文档。攻击者可利用该漏洞导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-100010

2、Microsoft Dynamics 365(on-premises)跨站脚本漏洞(CNVD-2023-101676)

Microsoft Dynamics 365是美国微软(Microsoft)公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。Microsoft Dynamics 365(on-premises)存在跨站脚本漏洞,攻击者可利用此漏洞窃取受害者基于cookie的身份验证凭据

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-101676

3、SAP BusinessObjects Business Intelligence Platform跨站脚本漏洞(CNVD-2023-100007)

SAP Business Objects是德国思爱普(SAP)公司的一个商业智能套件。SAP BusinessObjects Business Intelligence Platform 420版本430版本存在跨站脚本漏洞,该漏洞源于应用对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞可以在系统中上传不可知的文档。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-100007

4、Adobe Experience Manager跨站脚本漏洞(CNVD-2023-101466)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager 6.5.18版本及之前版本存在安全漏洞,攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-101466

5、Microsoft Visual Studio权限提升漏洞(CNVD-2023-101686)

Microsoft Visual Studio是美国微软(Microsoft)公司的一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。Microsoft Visual Studio存在权限漏洞。攻击者可利用此漏洞在系统上获得提升的权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-101686


二、境内厂商产品漏洞

1、四创科技有限公司综合管理系统存在SQL注入漏洞

四创科技有限公司是一家经营范围包括电子计算机软硬件技术与产品的研发、生产、销售等的公司。四创科技有限公司综合管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-97900

2、太原易思软件技术有限公司智能物流无人值守系统存在SQL注入漏洞(CNVD-2023-99600)

智能物流无人值守系统是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。太原易思软件技术有限公司智能物流无人值守系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-99600

3、智石开工业软件有限公司PLM存在SQL注入漏洞

智石开工业软件有限公司是一家以从事软件和信息技术服务业为主的企业。智石开工业软件有限公司PLM存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-99241

4、锐捷EG2000UE存在信息泄露漏洞(CNVD-2023-97847)

北京星网锐捷网络技术有限公司是一家拥有包括交换机、路由器、软件、安全防火墙、无线产品、存储等全系列的网络设备产品线及解决方案的专业化网络厂商。锐捷EG2000UE存在信息泄露漏洞,攻击者可利用该漏洞获取服务器敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-97847

5、TOTOLINK A7100RU缓冲区溢出漏洞(CNVD-2023-101089)

TOTOLINK A7100RU是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK A7100RU V7.4cu.2313_B20191024版本存在缓冲区溢出漏洞,该漏洞源于文件/cgi-bin/cstecgi.cgi?action=login的参数flag未能正确验证输入数据的长度大小,远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-101089


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com