(20230925-20231008)

一、境外廠商產(chǎn)品漏洞

1、IBM FileNet Content Manager Web UI跨站腳本漏洞

IBM FileNet Content Manager是一種靈活且功能齊全的內(nèi)容管理解決方案。IBM FileNet Content Manager Web UI存在跨站腳本漏洞，遠(yuǎn)程攻擊者可利用該漏洞注入惡意腳本或HTML代碼，當(dāng)惡意數(shù)據(jù)被查看時(shí)，可獲取敏感信息或劫持用戶會(huì)話。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-74534

2、Apache Flink代碼注入漏洞

Apache Flink是美國(guó)Apache基金會(huì)的一款開(kāi)源的分布式流數(shù)據(jù)處理引擎。該產(chǎn)品主要使用Java和Scala語(yǔ)言編寫(xiě)。Func是Knative開(kāi)源的一個(gè)客戶端庫(kù)和CLI ，支持功能的開(kāi)發(fā)和部署。Apache Flink Stateful Functions存在代碼注入漏洞，該漏洞源于HTTP標(biāo)頭中CRLF序列的不正確中和，攻擊者可利用該漏洞注入惡意內(nèi)容到發(fā)送到用戶瀏覽器的HTTP響應(yīng)中。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-72234

3、Google libwebp代碼執(zhí)行漏洞

Libwebp是一個(gè)開(kāi)源的用于編碼和解碼WebP圖像格式的C/C++庫(kù)。它提供了一組函數(shù)和工具，用于將圖像數(shù)據(jù)編碼為WebP格式，并將WebP格式的圖像解碼為原始圖像數(shù)據(jù)。Libwebp庫(kù)可以作為其他程序的依賴庫(kù)，用于添加WebP圖像格式的支持。Google libwebp存在代碼執(zhí)行漏洞，該漏洞是由于BuildHuffmanTable() 填充二級(jí)表時(shí)，可能會(huì)出現(xiàn)寫(xiě)入越界，攻擊者可利用該漏洞在目標(biāo)系統(tǒng)執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-73247

4、Mozilla Firefox進(jìn)程創(chuàng)建兩次釋放漏洞

Mozilla Firefox是美國(guó)Mozilla基金會(huì)的一款開(kāi)源Web瀏覽器。Mozilla Firefox進(jìn)程創(chuàng)建存在兩次釋放漏洞，遠(yuǎn)程攻擊者可以利用改漏洞提交特殊的Web請(qǐng)求，誘使用戶解析，可使應(yīng)用程序崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-74541

5、Linux Kernel eBPF本地權(quán)限提升漏洞

Linux Kernel是一款開(kāi)源的操作系統(tǒng)。Linux Kernel eBPF處理存在安全漏洞，本地攻擊者可利用改漏洞提交特殊的請(qǐng)求，可提升權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-74539

二、境內(nèi)廠商產(chǎn)品漏洞

1、北京奧博威斯科技有限公司JeecgBoot存在命令執(zhí)行漏洞

JeecgBoot是一款企業(yè)級(jí)的低代碼平臺(tái)。北京奧博威斯科技有限公司JeecgBoot存在命令執(zhí)行漏洞，攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-69437

2、浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在SQL注入漏洞（CNVD-2023-67975）

浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智慧園區(qū)綜合管理平臺(tái)存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-67975

3、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御上網(wǎng)行為管理系統(tǒng)Leadsec ACM存在SQL注入漏洞

北京網(wǎng)御星云信息技術(shù)公司是國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè)，專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷(xiāo)售,為用戶信息系統(tǒng)提供等級(jí)化的整體安全解決方案及安全專業(yè)服務(wù)。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御上網(wǎng)行為管理系統(tǒng)Leadsec ACM存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-69422

4、太原易思軟件技術(shù)有限公司智能物流無(wú)人值守系統(tǒng)存在文件上傳漏洞

智能物流無(wú)人值守系統(tǒng)是針對(duì)流程生產(chǎn)企業(yè)原料采購(gòu)、產(chǎn)成品銷(xiāo)售及廠內(nèi)物流的統(tǒng)一管控智能信息化平臺(tái)。太原易思軟件技術(shù)有限公司智能物流無(wú)人值守系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞上傳任意文件。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-69362

5、陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司數(shù)字報(bào)后臺(tái)管理系統(tǒng)存在文件上傳漏洞

陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司專注于新媒體軟件開(kāi)發(fā)和融媒體中心建設(shè)，向客戶提供新媒體系列化解決方案、產(chǎn)品和服務(wù)。陜西錦華網(wǎng)絡(luò)科技有限責(zé)任公司數(shù)字報(bào)后臺(tái)管理系統(tǒng)存在文件上傳漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-68768

說(shuō)明：關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來(lái)源：CNVD漏洞平臺(tái)