上周关注度较高的产品安全漏洞(20230508-20230514)

一、境外厂商产品漏洞

1、Linux kernel双重释放漏洞（CNVD-2023-34466）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。Linux kernel存在双重释放漏洞，该漏洞源于TUN/TAP设备驱动程序中存在双重释放缺陷，攻击者利用该漏洞可以使服务器崩溃或提升他们在系统上的权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-34466

2、Google Android资源管理错误漏洞（CNVD-2023-36104）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在资源管理错误漏洞，该漏洞源于ParsingPackageUtils.java组件的parseUsesPermission存在存在不受控制的资源消耗，攻击者可利用该漏洞导致出现引导循环。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36104

3、Google Android权限提升漏洞（CNVD-2023-36105）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用此漏洞提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36105

4、Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞（CNVD-2023-35222）

Microsoft PostScript Printer Driver是美国微软（Microsoft）公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是美国微软（Microsoft）公司的一个打印机驱动软件。Microsoft PostScript and PCL6 Class Printer Driver存在远程代码执行漏洞，攻击者可利用该漏洞远程执行代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-35222

5、Google Android拒绝服务漏洞（CNVD-2023-36103）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在拒绝服务漏洞，该漏洞源于PreferencesHelper.java组件的未捕获的异常，攻击者可利用该漏洞导致设备卡在引导循环中。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36103

二、境内厂商产品漏洞

1、Zyxel NBG6604命令注入漏洞

Zyxel NBG6604是一款中国合勤科技(Zyxel)公司的一款双频无线路由器。Zyxel NBG6604存在安全漏洞，远程攻击者可利用该漏洞提交特殊的请求，在系统上下文执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36292

2、HongCMS跨站脚本漏洞（CNVD-2023-36284）

HongCMS是一套开源的轻量级内容管理系统（CMS）。HongCMS 3.0版本存在跨站脚本漏洞，该漏洞源于通过/ajax/myshop的callback参数运行任意代码。攻击者利用该漏洞通过插入代码执行跨站脚本攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36284

3、EyouCms跨站脚本漏洞（CNVD-2023-36287）

EyouCms是一套基于ThinkPHP的开源内容管理系统（CMS）。EyouCms V1.6.1-UTF8-sp1版本存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-36287

4、Huawei HiLink AI Life授权问题漏洞

Huawei HiLink AI Life是中国华为（Huawei）公司的全屋智能解决方案。Huawei HiLink AI Life存在授权问题漏洞，该漏洞源于该软件存在着权限分配错误问题，攻击者可利用该漏洞访问受限的功能。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37156

5、D-Link DIR-823G缓冲区溢出漏洞

D-Link DIR-823G是中国友讯（D-Link）公司的一款无线路由器。D-Link DIR-823G V1.0.2B05版本存在缓冲区溢出漏洞，该漏洞源于NewPassword参数参数在处理不受信任的输入时出现边界错误。远程攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-37157

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。