(20230130-20230205)

一、境外廠商產(chǎn)品漏洞

1、Adobe InCopy緩沖區(qū)溢出漏洞(CNVD-2023-05231)

Adobe InCopy是Adobe公司出品的一個(gè)應(yīng)用程序，用于專業(yè)的文字處理。Adobe InCopy 17.3和16.4.2以及之前版本存在緩沖區(qū)溢出漏洞，攻擊者可利用該漏洞在當(dāng)前用戶的上下文中任意執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05231

2、IBM Sterling B2B Integrator SQL注入漏洞(CNVD-2023-05240)

IBM Sterling B2B Integrator是美國(guó)國(guó)際商業(yè)機(jī)器(IBM)公司的一套集成了重要的B2B流程、交易和關(guān)系的軟件。該軟件支持與不同的合作伙伴社區(qū)之間實(shí)現(xiàn)復(fù)雜的B2B流程的安全集成。IBM Sterling B2B Integrator Standard Edition存在SQL注入漏洞，攻擊者可利用該漏洞發(fā)送特制的SQL語(yǔ)句，查看、添加、修改或刪除后端數(shù)據(jù)庫(kù)中的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05240

3、Apache Superset跨站請(qǐng)求偽造漏洞

Apache Superset是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)數(shù)據(jù)可視化和數(shù)據(jù)探索平臺(tái)。Apache Superset存在跨站請(qǐng)求偽造漏洞，該漏洞源于用于批準(zhǔn)和請(qǐng)求訪問的兩個(gè)遺留REST API未能正確驗(yàn)證用戶輸入，攻擊者可利用該漏洞探測(cè)服務(wù)器內(nèi)網(wǎng)資源。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05218

4、Lead Management System SQL注入漏洞

Lead management system是Mayuri K.個(gè)人開發(fā)者的一個(gè)潛在客戶管理系統(tǒng)。Lead Management System 1.0版本存在SQL注入漏洞，該漏洞源于文件login.php的參數(shù)username缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證，攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05746

5、F5 BIG-IP AWAF和ASM拒絕服務(wù)漏洞

F5 BIG-IP是F5公司的一款集成了網(wǎng)絡(luò)流量編排、負(fù)載均衡、智能DNS，遠(yuǎn)程接入策略管理等功能的應(yīng)用交付平臺(tái)。F5 BIG-IP AWAF和ASM存在拒絕服務(wù)漏洞，當(dāng)在虛擬服務(wù)器上配置BIG-IP Advanced WAF或BIG-IP ASM安全策略時(shí)，未公開的請(qǐng)求會(huì)導(dǎo)致內(nèi)存資源利用率增加，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞導(dǎo)致服務(wù)降級(jí)，從而導(dǎo)致BIG-IP系統(tǒng)上的拒絕服務(wù)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05959

二、境內(nèi)廠商產(chǎn)品漏洞

1、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在文件上傳漏洞(CNVD-2023-03860)

浙江大華技術(shù)股份有限公司是以視頻為核心的智慧物聯(lián)解決方案供應(yīng)商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-03860

2、D-Link DIR-859命令注入漏洞

D-Link DIR-859是中國(guó)友訊(D-Link)公司的一款無線路由器。D-Link DIR-859A1 1.05存在安全漏洞，該漏洞源于D-Link DIR-859A1 1.05被發(fā)現(xiàn)通過soapcgi_main函數(shù)中的service=變量包含一個(gè)命令注入漏洞。目前沒有詳細(xì)漏洞細(xì)節(jié)提供。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05403

3、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)有限公司達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在邏輯缺陷漏洞

達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)是達(dá)夢(mèng)公司推出的具有完全自主知識(shí)產(chǎn)權(quán)的高性能數(shù)據(jù)庫(kù)管理系統(tǒng)，簡(jiǎn)稱DM。武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)有限公司達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在邏輯缺陷漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-84028

4、普聯(lián)技術(shù)有限公司TL-WDR7660 httpProcDataSrv任意代碼執(zhí)行漏洞

TL-WDR7660是中國(guó)普聯(lián)(TP-LINK)公司的一款千兆路由器。普聯(lián)技術(shù)有限公司TL-WDR7660 httpProcDataSrv任意代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請(qǐng)求，在應(yīng)用程序上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-05404

5、北京亞控科技發(fā)展有限公司KingFusion開發(fā)系統(tǒng)存在弱口令漏洞

KingFusion是一款面向工業(yè)企業(yè)執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)。北京亞控科技發(fā)展有限公司KingFusion開發(fā)系統(tǒng)存在弱口令漏洞，攻擊者可利用該漏洞獲取敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-04112

說明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來源：CNVD漏洞平臺(tái)