上周關(guān)注度較高的產(chǎn)品安全漏洞

(20230508-20230514)

一、境外廠商產(chǎn)品漏洞

1、Linux kernel雙重釋放漏洞(CNVD-2023-34466)

Linux kernel是美國(guó)Linux基金會(huì)的開(kāi)源操作系統(tǒng)Linux所使用的內(nèi)核。Linux kernel存在雙重釋放漏洞，該漏洞源于TUN/TAP設(shè)備驅(qū)動(dòng)程序中存在雙重釋放缺陷，攻擊者利用該漏洞可以使服務(wù)器崩潰或提升他們?cè)谙到y(tǒng)上的權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-34466

2、Google Android資源管理錯(cuò)誤漏洞(CNVD-2023-36104)

Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在資源管理錯(cuò)誤漏洞，該漏洞源于ParsingPackageUtils.java組件的parseUsesPermission存在存在不受控制的資源消耗，攻擊者可利用該漏洞導(dǎo)致出現(xiàn)引導(dǎo)循環(huán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36104

3、Google Android權(quán)限提升漏洞(CNVD-2023-36105)

Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞，攻擊者可利用此漏洞提升權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36105

4、Microsoft PostScript and PCL6 Class Printer Driver遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2023-35222)

Microsoft PostScript Printer Driver是美國(guó)微軟(Microsoft)公司的用于PostScript打印機(jī)的Microsoft標(biāo)準(zhǔn)打印機(jī)驅(qū)動(dòng)程序。Microsoft PCL6 Class Printer Driver是美國(guó)微軟(Microsoft)公司的一個(gè)打印機(jī)驅(qū)動(dòng)軟件。Microsoft PostScript and PCL6 Class Printer Driver存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞遠(yuǎn)程執(zhí)行代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-35222

5、Google Android拒絕服務(wù)漏洞(CNVD-2023-36103)

Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在拒絕服務(wù)漏洞，該漏洞源于PreferencesHelper.java組件的未捕獲的異常，攻擊者可利用該漏洞導(dǎo)致設(shè)備卡在引導(dǎo)循環(huán)中。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36103

二、境內(nèi)廠商產(chǎn)品漏洞

1、Zyxel NBG6604命令注入漏洞

Zyxel NBG6604是一款中國(guó)合勤科技(Zyxel)公司的一款雙頻無(wú)線路由器。Zyxel NBG6604存在安全漏洞，遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請(qǐng)求，在系統(tǒng)上下文執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36292

2、HongCMS跨站腳本漏洞(CNVD-2023-36284)

HongCMS是一套開(kāi)源的輕量級(jí)內(nèi)容管理系統(tǒng)(CMS)。HongCMS 3.0版本存在跨站腳本漏洞，該漏洞源于通過(guò)/ajax/myshop的callback參數(shù)運(yùn)行任意代碼。攻擊者利用該漏洞通過(guò)插入代碼執(zhí)行跨站腳本攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36284

3、EyouCms跨站腳本漏洞(CNVD-2023-36287)

EyouCms是一套基于ThinkPHP的開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。EyouCms V1.6.1-UTF8-sp1版本存在跨站腳本漏洞。該漏洞源于應(yīng)用對(duì)用戶提供的數(shù)據(jù)缺乏有效過(guò)濾與轉(zhuǎn)義，攻擊者可利用該漏洞通過(guò)注入精心設(shè)計(jì)的有效載荷執(zhí)行任意Web腳本或HTML。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-36287

4、Huawei HiLink AI Life授權(quán)問(wèn)題漏洞

Huawei HiLink AI Life是中國(guó)華為(Huawei)公司的全屋智能解決方案。Huawei HiLink AI Life存在授權(quán)問(wèn)題漏洞，該漏洞源于該軟件存在著權(quán)限分配錯(cuò)誤問(wèn)題，攻擊者可利用該漏洞訪問(wèn)受限的功能。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156

5、D-Link DIR-823G緩沖區(qū)溢出漏洞

D-Link DIR-823G是中國(guó)友訊(D-Link)公司的一款無(wú)線路由器。D-Link DIR-823G V1.0.2B05版本存在緩沖區(qū)溢出漏洞，該漏洞源于NewPassword參數(shù)參數(shù)在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼或者導(dǎo)致拒絕服務(wù)攻擊。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-37157

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)