星期
      您所在的位置:首页 > 风险提示>
上周关注度较高的产品安全漏洞(20230327-20230402)
2023-04-10 15:43:20    来源: CNVD漏洞平台

一、境外厂商产品漏洞

1、LS ELECTRIC XBC-DN32U拒绝服务漏洞

LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。LS ELECTRIC XBC-DN32U存在拒绝服务漏洞,该漏洞源于访问在通信缓冲区之外的内存位置时设备将停止运行,攻击者可利用该漏洞造成拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21683

2、IBM Financial Transaction Manager目录遍历漏洞(CNVD-2023-20086)

IBM Financial Transaction Manager是美国国际商业机器(IBM)公司的一款金融事务管理器。IBM Financial Transaction Manager存在目录遍历安全漏洞,远程攻击者可以利用该漏洞提交特殊的请求,在应用程序上下文查看系统文件内容,获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-20086 

3、Google Android越界写入漏洞(CNVD-2023-21685)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在越界写入漏洞,攻击者可利用该漏洞导致需要系统执行特权的本地信息公开。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21685 

4、IBM WebSphere Application Server输入验证错误漏洞(CNVD-2023-20087)

IBM WebSphere Application Server(WAS)是美国国际商业机器(IBM)公司的一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM WebSphere Application Server HTTP Server 8.5版本存在输入验证错误漏洞,该漏洞源于未对输入的错误消息做正确的处理,远程攻击者可利用该漏洞通过使用特制URL导致拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-20087 

5、LS ELECTRIC XBC-DN32U访问控制错误漏洞(CNVD-2023-21680)

LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款 PLC 可编程逻辑控制器。LS ELECTRIC XBC-DN32U 01.80版本存在访问控制错误漏洞,该漏洞源于缺少对PLC执行关键功能的身份验证,攻击者可利用该漏洞任意更改PLC的模式。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21680

二、境内厂商产品漏洞

1、Tenda AX3缓冲区溢出漏洞(CNVD-2023-21669)

Tenda Ax3是中国腾达(Tenda)公司的一款Ax1800千兆端口双频Wifi 6无线路由器。Tenda AX3 V16.03.12.11存在缓冲区溢出漏洞,该漏洞源于/goform/WifiGuestSet中的shareSpeed参数未能正确验证用户输入,攻击者可利用该漏洞导致远程代码执行或者拒绝服务。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21669 

2、D-Link DWL-2600AP命令注入漏洞

D-Link DWL-2600AP是中国友讯(D-Link)公司的一款无线接入点设备。D-Link DWL-2600AP存在命令注入漏洞,攻击者可利用该漏洞以root身份执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21664

3、TOTOLINK A950RG存在命令执行漏洞

TOTOLINK A950RG是一款无线路由器。TOTOLINK A950RG存在命令执行漏洞,攻击者可利用该漏洞执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-19487 

4、北京亚控科技发展有限公司KingPortal开发系统存在未授权访问漏洞

北京亚控科技发展有限公司是一家自动化软件平台高科技企业。北京亚控科技发展有限公司KingPortal开发系统存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-18227

5、D-Link DIR-2150操作系统命令注入漏洞

D-Link DIR-2150是D-Link公司的一个无线路由器设备。D-Link DIR-2150存在操作系统命令注入漏洞,攻击者可利用该漏洞在路由器上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2023-21661