上周关注度较高的产品安全漏洞(20230612-20230618)

一、境外厂商产品漏洞

1、Google Chrome类型混肴漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome 114.0.5735.110之前版本存在类型混肴漏洞，攻击者可利用该漏洞在系统上执行任意代码或导致应用程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-46107

2、Siemens Mendix SAML身份验证绕过漏洞

Mendix SAML module允许您在云应用程序中使用SAML对用户进行身份验证。该模块可以与任何支持SAML2.0或Shibboleth的身份提供程序通信。Siemens Mendix SAML存在身份验证绕过漏洞，攻击者可利用该漏洞绕过身份验证并访问应用程序。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-48547

3、Siemens SIMATIC STEP 7 V5远程代码执行漏洞

SIMATIC PCS 7是一个集散控制系统(DCS)，集成了SIMATIC WinCC、SIMATIC Batch、SIMATIC Route control、OpenPCS 7等组件。SIMATIC S7-PM是SIMATIC STEP 7 V5.7的一个选项包，它提供了在项目范围内分配消息号的可能性。SIMATIC STEP 7 V5是SIMATIC S7-300/S7-400/C7/WinAC控制器配置和编程的经典工程软件。Siemens SIMATIC STEP 7 V5存在远程代码执行漏洞，攻击者可利用该漏洞在数据库管理系统的服务器中以提升的特权运行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-48548

4、Linux kernel资源管理错误漏洞（CNVD-2023-48540）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在资源管理错误漏洞，该漏洞源于在并发iptables规则替换期间每个CPU序列计数被错误处理，导致在数据包处理上下文中可能存在释放后重用。攻击者可利用该漏洞造成拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-48540

5、Google Chrome Swiftshader组件越界写入漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Chrome Swiftshader组件存在越界写入漏洞，攻击者可利用此漏洞在系统上执行任意代码或导致应用程序崩溃。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-46120

二、境内厂商产品漏洞

1、畅捷通T+远程命令执行漏洞

畅捷通T+是一款基于互联网的新型企业管理软件。畅捷通T+存在远程命令执行漏洞，攻击者可利用该漏洞在目标服务器上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-48562

2、广州粤建三和软件股份有限公司混凝土质量追踪及动态监管系统存在未授权访问漏洞

广州粤建三和软件股份有限公司始创于1995年，是国内领先的行业信息化解决方案专家，主要从事“城市建设与管理”类软件的研发、销售和服务工作。广州粤建三和软件股份有限公司混凝土质量追踪及动态监管系统存在未授权访问漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-19794

3、飞转电子书阅读器Windows客户端存在xss漏洞

飞转电子书阅读器是一款功能强大的电子书阅读和管理工具。飞转电子书阅读器Windows客户端存在xss漏洞，攻击者可利用该漏洞获取用户cookie信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37817

4、TP-Link Archer VR1600V命令注入漏洞

TP-Link Archer VR1600V是中国普联（TP-LINK）公司的一款无线调制解调器。TP-Link Archer VR1600V存在命令注入漏洞，该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致管理员身份打开操作系统的shell。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49482

5、EyouCMS跨站脚本漏洞（CNVD-2023-49807）

EyouCms是海南赞赞网络科技有限公司的一套基于ThinkPHP的开源内容管理系统（CMS）。EyouCMS 1.6.2版本存在跨站脚本漏洞，攻击者可利用该漏洞注入恶意的JavaScript脚本。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-49807

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。