上周关注度较高的产品安全漏洞(20231009-20231015)|Google_新浪财经

一、境外厂商产品漏洞

1、Siemens Simcenter Amesim远程代码执行漏洞

Simcenter Amesim是一个集成的、可扩展的系统仿真平台，允许系统仿真工程师虚拟评估和优化机电系统的性能。Siemens Simcenter Amesim存在远程代码执行漏洞，攻击者可利用该漏洞在受影响应用程序进程的上下文中执行DLL注入和执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-75588

2、Siemens SINEC NMS权限分配不正确漏洞

Siemens SINEC NMS是德国西门子（Siemens）公司的一个网络管理系统 (NMS)，该系统可用于全天候集中监控、管理和配置具有数万台设备的工业网络，包括与安全相关的领域。Siemens SINEC NMS存在权限分配不正确漏洞，该漏洞是由于受影响的应用程序为包含可执行文件和库的特定文件夹分配了不正确的访问权限。攻击者可利用该漏洞注入任意代码并提升权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-75591

3、Google Android权限提升漏洞（CNVD-2023-75536）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞，攻击者可利用此漏洞在系统上获得提升的权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-75536

4、Google Android拒绝服务漏洞（CNVD-2023-75538）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在拒绝服务漏洞，攻击者可利用此漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-75538

5、Mozilla Firefox资源操作不当漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox存在资源操作不当漏洞，该漏洞源于浏览器处理XSL文档的方式。攻击者可利用该漏洞欺骗受害者加载一个特别设计的XSL文档，该文档可以在同源策略的范围内继续执行JavaScript，即使在浏览器选项卡关闭之后。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-75348

二、境内厂商产品漏洞

1、浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞

浙江大华技术股份有限公司，是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智慧园区综合管理平台存在SQL注入漏洞，攻击者可以利用漏洞获取数据库配置信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71714

2、QQ音乐存在命令执行漏洞

QQ音乐是腾讯官方推出的音乐播放软件。QQ音乐存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-71686

3、用友网络科技股份有限公司NC Cloud存在远程命令执行漏洞