2023年02月27日-2023年03月02日
本周漏洞态势研判情况
图1 CNVD收录漏洞近10周平均分值分布图
图2 CNVD 0day漏洞总数按周统计
淄博闪灵网络科技有限公司、中民智金科技股份有限公司、浙江宇视科技有限公司、漳州市芗城帝兴软件开发有限公司、友讯电子设备(上海)有限公司、用友网络科技股份有限公司、阳光智园科技有限公司、天津天堰科技股份有限公司、天津神州浩天科技有限公司、天地伟业技术有限公司、神彩科技股份有限公司、深圳维盟科技股份有限公司、深圳市中科网威科技有限公司、深圳市同为数码科技股份有限公司、深圳市思迅软件股份有限公司、深圳市锐明技术股份有限公司、深圳市明源云科技有限公司、深圳市蓝凌软件股份有限公司、深圳市卡方通用科技开发有限公司、深圳市捷道智控实业有限公司、深圳市合信自动化技术有限公司、深圳市必联电子有限公司、深圳科士达科技股份有限公司、上海卓卓网络科技有限公司、上海展盟网络科技有限公司、上海商创网络科技有限公司、上海聚均科技有限公司、上海寰创通信科技股份有限公司、上海保利物业酒店管理集团有限公司、上海阿法迪智能数字科技股份有限公司、熵基科技股份有限公司、商派软件有限公司、山脉科技股份有限公司、山东中创软件商用中间件股份有限公司、山东运筹软件有限公司、山东云时空信息科技有限公司、山东威尔数据股份有限公司、山东科德电子有限公司、厦门网中网软件有限公司、厦门四信通信科技有限公司、厦门海为科技有限公司、任子行网络技术股份有限公司、全讯汇聚网络科技(北京)有限公司、普联技术有限公司、鹏为软件股份有限公司、南京涌亿思信息技术有限公司、南京擎盾信息科技有限公司、南京爱普雷德电子科技有限公司、南昌腾速科技有限公司、梅州市青云客网络科技有限公司、迈普通信技术股份有限公司、乐鑫信息科技(上海)股份有限公司、朗坤智慧科技股份有限公司、科来网络技术股份有限公司、江西金磊科技发展有限公司、江苏优度软件有限公司、江苏汇文软件有限公司、江苏国光信息产业股份有限公司、济南大森制冷设备有限公司、吉翁电子(深圳)有限公司、怀化南山田舍科技有限公司、湖北易都信息技术有限公司、鸿生汇引(北京)文化传播有限公司、杭州智果科技有限公司、杭州雄伟科技开发股份有限公司、杭州新中大科技股份有限公司、杭州玳数科技有限公司、汉王科技股份有限公司、广州市花都区新华伟创广告设计服务部、广州好象科技有限公司、甘肃成兴信息科技有限公司、飞天站群系统、呆错建站系统、畅捷通信息技术股份有限公司、北京中创视讯科技有限公司、北京云帆互联网科技有限公司、北京亚鸿世纪科技发展有限公司、北京星网锐捷网络技术有限公司、北京小米科技有限责任公司、北京现代汽车有限公司、北京万户网络技术有限公司、北京通达信科科技有限公司、北京如易行科技有限公司、北京普诺迪信息系统技术研发有限责任公司、北京欧倍尔软件技术开发有限公司、北京梦见星科技有限公司、北京朗新天霁软件技术有限公司、北京竞业达数码科技股份有限公司、北京鲸榄网络科技有限公司、北京金盘鹏图软件技术有限公司、北京和利时集团、北京国炬信息技术有限公司、北京东尚泰和科技有限公司、北京大为知创科技有限公司、北京北信源软件股份有限公司、北京百卓网络技术有限公司、安徽中技国医医疗有限公司、安徽中技国医医疗科技有限公司和安徽旭帆信息科技有限公司
本周,CNVD整理和发布以下重要安全漏洞信息。
1、Adobe产品安全漏洞
Adobe Dimension是美国奥多比(Adobe)公司的是一套2D和3D合成设计工具。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。
CNVD收录的相关漏洞包括:Adobe Dimension输入验证错误漏洞(CNVD-2023-21649、CNVD-2023-21651)、Adobe Dimension越界写入漏洞(CNVD-2023-21650)、Adobe Dimension堆缓冲区溢出漏洞、Adobe Dimension越界读取漏洞(CNVD-2023-21654、CNVD-2023-21658、CNVD-2023-21656、CNVD-2023-21657)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21649
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21650
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21651
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21654
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21655
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21656
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21658
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21657
2、D-Link产品安全漏洞
D-Link DIR-2150是D-Link公司的一个无线路由器设备。D-Link DWL-2600AP是一款无线接入点设备。D-Link DIR-846是一款无线路由器。D-Link DIR-825是一款路由器。D-Link DIR-823G是一款无线路由器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过特制数据包执行任意命令,在root上下文中执行代码等。
CNVD收录的相关漏洞包括:D-Link DIR-2150缓冲区溢出漏洞、D-Link DIR-2150缓冲区溢出漏洞(CNVD-2023-21662、CNVD-2023-21663)、D-Link DIR-2150操作系统命令注入漏洞(CNVD-2023-21660、CNVD-2023-21661)、D-Link DWL-2600AP命令注入漏洞、D-Link DIR-846命令注入漏洞(CNVD-2023-21666)、D-Link DIR-825缓冲区溢出漏洞(CNVD-2023-21665)、D-Link DIR-823G命令注入漏洞(CNVD-2023-21667)。其中,除“D-Link DWL-2600AP命令注入漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21663
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21662
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21661
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21660
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21664
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21666
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21665
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21667
3、IBM产品安全漏洞
IBM Security Guardium Key ifecycle Manager是管理通过集中化、精简化和自动化来进行加密密钥管理流程,以帮助保护加密数据和简化加密密钥管理。IBM Security Guardium是一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM WebSphere Application Server(WAS)是一款应用服务器产品。该产品是JavaEE和Web服务应用程序的平台,也是IBMWebSphere软件平台的基础。IBM Financial Transaction Manager是一款金融事务管理器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过使用特制URL导致拒绝服务,执行非法SQL命令窃取数据库敏感数据,执行任意命令等。
CNVD收录的相关漏洞包括:IBM Security Guardium Key Lifecycle Manager未授权访问漏洞、IBM Security Guardium信息泄露漏洞(CNVD-2023-20082)、IBM Security Guardium SQL注入漏洞(CNVD-2023-20081)、IBM Aspera XML外部实体注入漏洞、IBM Aspera Faspex SQL注入漏洞、IBM Aspera访问控制错误漏洞(CNVD-2023-20083)、IBM WebSphere Application Server输入验证错误漏洞(CNVD-2023-20087)、IBM Financial Transaction Manager目录遍历漏洞(CNVD-2023-20086)。其中,除“IBM Security Guardium Key Lifecycle Manager未授权访问漏洞、IBM Security Guardium信息泄露漏洞(CNVD-2023-20082)、IBM Security Guardium SQL注入漏洞(CNVD-2023-20081)”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20078
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20082
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20081
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20080
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20079
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20083
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20087
https://www.cnvd.org.cn/flaw/show/CNVD-2023-20086
4、Tenda产品安全漏洞
Tenda Ax3是中国腾达(Tenda)公司的一款Ax1800千兆端口双频Wifi 6无线路由器。Tenda G103是一款企业级Ap路由器。Tenda AC18是一款路由器。本周,上述产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的包获取敏感信息,导致远程代码执行或者拒绝服务等。
CNVD收录的相关漏洞包括:Tenda AX3缓冲区溢出漏洞(CNVD-2023-21669)、Tenda G103命令注入漏洞、Tenda AC18缓冲区溢出漏洞(CNVD-2023-21673、CNVD-2023-21672、CNVD-2023-21671、CNVD-2023-21675、CNVD-2023-21674、CNVD-2023-21676)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新,避免引发漏洞相关的网络安全事件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21669
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21668
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21673
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21672
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21671
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21675
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21674
https://www.cnvd.org.cn/flaw/show/CNVD-2023-21676
5、LS ELECTRIC XBC-DN32U拒绝服务漏洞
LS ELECTRIC XBC-DN32U是韩国LS ELECTRIC公司的一款PLC可编程逻辑控制器。本周,LS ELECTRIC XBC-DN32U被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。目前,厂商尚未发布上述漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页,以获取最新版本。
小结:本周,Adobe产品被披露存在多个漏洞,攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外,D-Link、IBM、Tenda等多款产品被披露存在多个漏洞,攻击者可利用漏洞通过精心制作的包获取敏感信息,导致远程代码执行或者拒绝服务,执行任意命令等。另外,LS ELECTRIC XBC-DN32U被披露存在拒绝服务漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
本周重要漏洞攻击验证情况
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论