您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220221-20220227)
一、境外廠商產(chǎn)品漏洞
1、Oracle MySQL Cluster輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-13062)
Oracle MySQL是美國(guó)甲骨文(Oracle)公司的一套開(kāi)源的關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)。MySQL Cluster是其中的一個(gè)適用于分布式計(jì)算環(huán)境的高實(shí)用、高冗余的版本。Oracle MySQL Cluster存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用此漏洞讀取內(nèi)存內(nèi)容或使應(yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13062
2、Google TensorFlow輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-14990)
Google TensorFlow是美國(guó)谷歌(Google)公司的一套用于機(jī)器學(xué)習(xí)的端到端開(kāi)源平臺(tái)。Google Tensorflow存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于缺少對(duì)輸入張量形狀的驗(yàn)證,攻擊者可利用該漏洞發(fā)起拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-14990
3、Apache HTTP Server代碼問(wèn)題漏洞(CNVD-2022-13199)
Apache HTTP Server是美國(guó)阿帕奇(Apache)基金會(huì)的一款開(kāi)源網(wǎng)頁(yè)服務(wù)器。該服務(wù)器具有快速、可靠且可通過(guò)簡(jiǎn)單的API進(jìn)行擴(kuò)充的特點(diǎn)。Apache HTTP Server 存在代碼問(wèn)題漏洞,該漏洞源于在mod會(huì)話中一個(gè)NULL指針解引用錯(cuò)誤。遠(yuǎn)程攻擊者可利用該漏洞將專門設(shè)計(jì)的數(shù)據(jù)傳遞給應(yīng)用程序,并執(zhí)行拒絕服務(wù)(DoS)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13199
4、IBM OPENBMC跨站腳本漏洞
IBM OPENBMC是美國(guó)國(guó)際商用機(jī)器公司(Ibm)公司的一個(gè) POWER8和POWER9模擬器。IBM OPENBMC在OP910版本存在跨站腳本漏洞,該漏洞源于缺少對(duì)用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗(yàn)過(guò)濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-14711
5、Foxit PDF Reader緩沖區(qū)溢出漏洞(CNVD-2022-13354)
Foxit PDF Reader是一款PDF閱讀器。Foxit PDF Reader處理部分Javascript方法存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可利用該漏洞提交特殊的文件請(qǐng)求,誘使用戶解析,可使應(yīng)用程序崩潰或者可以應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13354
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda Ax3命令注入漏洞(CNVD-2022-13934)
Tenda Ax3是中國(guó)騰達(dá)(Tenda)公司的一款A(yù)x1800千兆端口雙頻 Wifi 6無(wú)線路由器。Tenda AX3 v16.03.12.10_CN存在命令注入漏洞,攻擊者可利用該漏洞通過(guò)dmzIp參數(shù)造成拒絕服務(wù) (DoS)。參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-13934
2、Reolink RLC-410W數(shù)據(jù)偽造問(wèn)題漏洞
Reolink Rlc-410W是中國(guó)Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W v3.0.0.136_20121102版本存在數(shù)據(jù)偽造問(wèn)題漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未充分驗(yàn)證數(shù)據(jù)的來(lái)源或真實(shí)性。攻擊者利用此漏洞通過(guò)一個(gè)特別制作的HTTP請(qǐng)求可以導(dǎo)致固件更新。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-12817
3、長(zhǎng)沙米拓信息技術(shù)有限公司MetInfo存在文件上傳漏洞(CNVD-2022-08512)
MetInfo是一個(gè)以php MySQL進(jìn)行開(kāi)發(fā)的企業(yè)建站系統(tǒng)。長(zhǎng)沙米拓信息技術(shù)有限公司MetInfo存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-08512
4、Tenda Ax3緩沖區(qū)溢出漏洞(CNVD-2022-13936)
Tenda Ax3是中國(guó)騰達(dá)(Tenda)公司的一款A(yù)x1800千兆端口雙頻 Wifi 6無(wú)線路由器。Tenda AX3 v16.03.12.10_CN存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過(guò)列表參數(shù)導(dǎo)致拒絕服務(wù) (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13936
5、Reolink RLC-410W TestEmail功能越界寫入漏洞
Reolink Rlc-410W是中國(guó)Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W在v3.0.0.136_20121102版本存在安全漏洞,該漏洞源于TestEmail功能在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。攻擊者可利用精心構(gòu)造的請(qǐng)求可能導(dǎo)致越界寫操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-12818
說(shuō)明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)