您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞(20220214-20220221)
一、境外廠商產品漏洞
1、Microsoft Windows Print Spooler遠程代碼執(zhí)行漏洞(CNVD-2022-10025)
Microsoft Windows Print Spooler是美國微軟(Microsoft)公司的一個打印后臺處理程序組件。Microsoft Windows PrintSpooler存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)中運行惡意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10025
2、Siemens Simcenter Femap內存破壞漏洞
Siemens Simcenter Femap是德國西門子(Siemens)公司的一款尖端工程學仿真應用程序。用于創(chuàng)建、編輯和導入/重用復雜產品或系統(tǒng)基于網格的有限元分析模型。Siemens Simcenter Femap存在內存破壞漏洞,攻擊者可利用漏洞在當前進程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10016
3、Sealevel Systems SeaConnect 370W緩沖區(qū)溢出漏洞
Sealevel Systems SeaConnect 370W是美國Sealevel Systems公司的一款工業(yè)物聯(lián)網(Iiot)邊緣設備。用于遠程監(jiān)視和控制實際 I/O 進程的狀態(tài)。Sealevel SystemsSeaConnect 370W存在緩沖區(qū)溢出漏洞,該漏洞源于產品的LLMNR功能未對內存邊界做有效限制,攻擊者可利用該漏洞通過特制的網絡包導致遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10703
4、Microsoft Edge for Android信息泄露漏洞
Microsoft Edge for Android是美國微軟(Microsoft)公司的一款適配Android系統(tǒng)的Web瀏覽器。MicrosoftEdge for Android在93.0.961.38之前版本存在信息泄露漏洞,該漏洞源于網絡系統(tǒng)或產品在運行過程中存在配置等錯誤,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10029
5、Adobe Acrobat Reader DC ActiveX Control信息泄露漏洞
Adobe Acrobat Reader Dc是美國Adobe公司的一個Pdf閱讀工具。用于可靠查看、打印和注釋Pdf文檔。Adobe Acrobat Reader DC ActiveXControl存在信息泄露漏洞,攻擊者可利用該漏洞獲取NTLMv2憑據。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10756
二、境內廠商產品漏洞
1、上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執(zhí)行漏洞
向日葵是一款免費的,集遠程控制電腦手機、遠程桌面連接、遠程開機、遠程管理、支持內網穿透的一體化遠程控制管理工具軟件。上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270
2、Tenda Ax3緩沖區(qū)溢出漏洞(CNVD-2022-11182)
Tenda Ax3是中國騰達(Tenda)公司的一款Ax1800千兆端口雙頻 Wifi 6無線路由器。Tenda AX3 v16.03.12.10_CN存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過schedStartTime和 schedEndTime參數造成拒絕服務 (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-11182
3、Tenda G1 and G3命令注入漏洞(CNVD-2022-10749)
Tenda G1 and G3是中國騰達(Tenda)公司的一個路由器。Tenda G1 and G3v15.11.0.17(9502)_CN存在命令注入漏洞,攻擊者可利用該漏洞通過IPGroupStartIP和IPGroupEndIP參數執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10749
4、Reolink Rlc-410W拒絕服務漏洞(CNVD-2022-10263)
Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W存在安全漏洞,攻擊者可利用該漏洞造成拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10263
5、D-Link DIR-X1860拒絕服務漏洞(CNVD-2022-11517)
D-Link Dir-X1860是中國友訊(D-Link)公司的一款雙頻路由器。D-Link DIR-X1860v1.10WWB09_Beta之前版本存在安全漏洞,該漏洞源于web應用程序中缺少對于URL的驗證和過濾,未經身份驗證的遠程攻擊者可利用該漏洞通過發(fā)送一個專門設計的URL給身份驗證的受害者來重啟路由器。經過身份驗證的受害者需要訪問這個URL,以便路由器重新啟動。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-11517
說明:關注度分析由CNVD秘書處根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺