(20230109-20230115)

一、境外廠商產(chǎn)品漏洞

1、ZOHO ManageEngine ADManager Plus存在命令執(zhí)行漏洞

ZOHO ManageEngine ADManager Plus是美國卓豪(ZOHO)公司的一套為使用Windows域的企業(yè)用戶設(shè)計(jì)的微軟活動(dòng)目錄管理軟件。該軟件能夠協(xié)助AD管理員和幫助臺(tái)技術(shù)人員進(jìn)行日常管理工作，例如批量管理用戶帳戶和AD對(duì)象、給幫助臺(tái)技術(shù)員指派基于角色的訪問權(quán)限等。ZOHO ManageEngine ADManager Plus 7.1之前版本存在安全漏洞。經(jīng)過身份驗(yàn)證的攻擊者可利用該漏洞在代理設(shè)置中執(zhí)行命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02270

2、Apache Kylin命令注入漏洞

Apache Kylin是美國阿帕奇(Apache)基金會(huì)的一款開源的分布式分析型數(shù)據(jù)倉庫。該產(chǎn)品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析(OLAP)等功能。Kylin存在命令注入漏洞，該漏洞源于黑名單存在被繞過的風(fēng)險(xiǎn)，攻擊者利用該漏洞可以通過控制conf的kylin.engine.spark-cmd參數(shù)來控制命令。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02475

3、Mozilla Firefox緩沖區(qū)溢出漏洞(CNVD-2023-03064)

Mozilla Firefox是美國Mozilla基金會(huì)的一款開源Web瀏覽器。Mozilla Firefox存在緩沖區(qū)溢出漏洞，該漏洞源于意外的WebAuthN擴(kuò)展導(dǎo)致內(nèi)存寫入越界。未認(rèn)證的攻擊者可利用該漏洞執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-03064

4、Apache Traffic Server異常情況處理錯(cuò)誤漏洞

Apache Traffic Server(ATS)是美國阿帕奇(Apache)基金會(huì)的一套可擴(kuò)展的HTTP代理和緩存服務(wù)器。Apache Traffic Server存在異常情況處理錯(cuò)誤漏洞。攻擊者可利用該漏洞在特定條件下導(dǎo)致服務(wù)器崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02476

5、Mozilla Firefox注入漏洞(CNVD-2023-03055)

Mozilla Firefox是美國Mozilla基金會(huì)的一款開源Web瀏覽器。Mozilla Firefox存在注入漏洞，該漏洞源于未能執(zhí)行Unsafe-Hashes CSP指令。攻擊者可利用該漏洞注入可執(zhí)行腳本。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-03055

二、境內(nèi)廠商產(chǎn)品漏洞

1、金電網(wǎng)安可信運(yùn)維管理系統(tǒng)存在命令執(zhí)行漏洞

金電網(wǎng)安可信運(yùn)維管理系統(tǒng)提供專業(yè)的“人機(jī)”交互運(yùn)維平臺(tái)和專業(yè)的“人機(jī)”交付解決方案。金電網(wǎng)安可信運(yùn)維管理系統(tǒng)存在命令執(zhí)行漏洞，攻擊者可利用該漏洞執(zhí)行任意系統(tǒng)命令，獲取系統(tǒng)最高權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-90048

2、Tenda A15 security_5g參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(dá)(Tenda)公司的一款WiFi擴(kuò)展器。Tenda A15 security_5g參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的security_5g參數(shù)對(duì)輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02257

3、華天動(dòng)力OA系統(tǒng)存在任意文件下載漏洞

華天動(dòng)力OA系統(tǒng)是由大連華天軟件有限公司開發(fā)的協(xié)同辦公軟件。華天動(dòng)力OA系統(tǒng)存在任意文件下載漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-91045

4、Tenda A15 security參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(dá)(Tenda)公司的一款WiFi擴(kuò)展器。Tenda A15 security參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的security參數(shù)對(duì)輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02258

5、Tenda A15 wepkey參數(shù)堆棧溢出漏洞

Tenda A15是中國騰達(dá)(Tenda)公司的一款WiFi擴(kuò)展器。Tenda A15 wepkey參數(shù)存在堆棧溢出漏洞，該漏洞源于/goform/WifiBasicSet的wepkey參數(shù)對(duì)輸入數(shù)據(jù)缺乏長度檢查，攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-02256

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來源： CNVD漏洞平臺(tái)