一、境外厂商产品漏洞

1、Adobe Substance 3D Painter越界读取漏洞（CNVD-2023-41408）

Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe Substance 3D Painter 8.3.0及之前版本存在越界读取漏洞，攻击者可利用该漏洞在当前用户的上下文中执行代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-41408

2、Schneider Electric EcoStruxure Control Expert代码执行漏洞

Schneider Electric EcoStruxure Control Expert是法国施耐德电气（Schneider Electric）公司的一套用于Schneider Electric逻辑控制器产品的编程软件。Schneider Electric EcoStruxure Control Expert V15.1及之前版本存在代码执行漏洞，该漏洞源于存在资源暴露于错误领域，攻击者可利用该漏洞远程执行代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-40176

3、Prestashop路径遍历漏洞（CNVD-2023-41497）

PrestaShop是美国PrestaShop公司的一套开源的电子商务解决方案。该方案提供多种支付方式、短消息提醒和商品图片缩放等功能。Prestashop 1.7.20及之前版本存在路径遍历漏洞，该漏洞源于odules/customexporter/downloads/download.php缺乏权限的控制和路径名构造的控制，攻击者可利用该漏洞通过路径遍历查看信息系统中的所有文件。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-41497

4、Rockwell Automation ArmorStart ST跨站脚本漏洞

Rockwell Automation ArmorStart ST是美国罗克韦尔（Rockwell Automation）公司的一种用于机旁控制架构的简单而经济实用的解决方案。Rockwell Automation ArmorStart ST存在跨站脚本漏洞，远程攻击者可利用该漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-40912

5、Cisco Identity Services Engine XML外部实体注入漏洞

Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco Identity Services Engine存在XML外部实体注入漏洞，经过身份验证的远程攻击者可利用该漏洞读取任意文件或通过受影响的设备进行服务器端请求伪造 (SSRF) 攻击。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-40182

二、境内厂商产品漏洞

1、北京网瑞达科技有限公司WebVPN资源访问控制系统存在SSRF漏洞

WebVPN资源访问控制系统是一款为用户提供免客户端的资源便捷访问工具。北京网瑞达科技有限公司WebVPN资源访问控制系统存在SSRF漏洞，攻击者可利用该漏洞探测内网信息，获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-29023

2、北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在弱口令漏洞

资源访问控制系统（WebVPN）是一款为用户提供免客户端的资源便捷访问工具。北京网瑞达科技有限公司资源访问控制系统（WebVPN）存在弱口令漏洞，攻击者可利用该漏洞批量登录VPN前台获取内部敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2021-84288

3、Tenda AC5代码执行漏洞

Tenda AC5是中国腾达（Tenda）公司的一款无线路由器。Tenda AC5 V15.03.06.28版本存在代码执行漏洞，该漏洞源于ip/goform/WriteFacMac的Mac参数未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-40600

4、上海百胜软件股份有限公司E3全渠道配置中心存在弱口令漏洞

上海百胜软件股份有限公司是一家全渠道数字零售解决方案服务商，为零售行业提供运营咨询和数智化解决方案。上海百胜软件股份有限公司E3全渠道配置中心存在弱口令漏洞，攻击者可以利用该漏洞获取敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-31917

5、PHPOK代码问题漏洞

PHPOK是一套支持扩展的企业建站系统。PHPOK 5.7.140版本存在代码问题漏洞，该漏洞源于存在文件上传漏洞，远程攻击者可利用该漏洞通过上传制作的zip文件运行任意代码和权限提升。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2023-41863

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。