您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞(20220314-20220320)
一、境外廠商產品漏洞
1、Liferay Portal和Liferay DXP跨站腳本漏洞(CNVD-2022-19496)
Liferay Portal和Liferay DXP都是美國Liferay公司的產品。Liferay Portal是一套基于J2EE的門戶解決方案。該方案使用了EJB以及JMS等技術,并可作為Web發(fā)布和共享工作區(qū)、企業(yè)協(xié)作平臺、社交網絡等。Liferay DXP是一套數(shù)字化體驗協(xié)作平臺。Liferay Portal和Liferay DXP存在跨站腳本漏洞,遠程攻擊者可利用該漏洞通過Groovy腳本的輸出注入任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19496
2、Fortinet FortiProxy SSL VPN跨站請求偽造漏洞
Fortinet FortiProxy SSL VPN是美國Fortinet公司的一個應用軟件。提供了一個入侵檢測功能。Fortinet FortiProxy SSLVPN存在跨站請求偽造漏洞,未經身份驗證的攻擊者可利用該漏洞進行跨站點請求偽造(CSRF)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19075
3、WordPress LoginPress Plugin跨站腳本漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress LoginPressPlugin 1.5.12之前版本存在跨站腳本漏洞,該漏洞源于插件在將重定向頁面參數(shù)輸出回屬性之前沒有進行轉義,攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19798
4、WordPress Core Tweaks WP Setup plugin跨站請求偽造漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress Core Tweaks WPSetup plugin 4.1及之前按版本存在跨站請求偽造漏洞,該漏洞源于沒有適當?shù)?CSRF 保護,攻擊者可利用此漏洞任意更改管理員電子郵件或創(chuàng)建另一個管理員帳戶并通過 CSRF 攻擊接管網站。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19801
5、Dell BIOS輸入驗證漏洞
Dell是一家生產、設計、銷售家用以及辦公室電腦的公司,同時還生產與銷售服務器、數(shù)據(jù)儲存設備、網絡設備等產品。Dell BIOS包含錯誤的輸入驗證漏洞。本地經過身份驗證的攻擊者可能會利用該漏洞通過使用SMI在SMM期間執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20796
二、境內廠商產品漏洞
1、Huawei P30 JavaScript注入漏洞
Huawei P30是中國華為(Huawei)公司的一款智能手機。Huawei P30存在JavaScript注入漏洞,攻擊者可利用漏洞通過發(fā)送惡意應用程序請求來啟動JavaScript注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20327
2、Huawei HarmonyOS堆緩沖區(qū)溢出漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在堆緩沖區(qū)溢出漏洞,該漏洞源于產品的某個組件未能正確判斷內存邊界。攻擊者可利用漏洞會重寫相鄰對象的內存。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20314
3、江西銘軟科技有限公司MCMS存在未明漏洞
Mcms是江西銘軟科技有限公司的一個完整開源的 J2ee系統(tǒng)。Mcms v5.1版本存在SQL注入漏洞,攻擊者可利用該漏洞通過/ms/cms/content/list.do執(zhí)行sql注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20178
4、四創(chuàng)科技有限公司山洪災害監(jiān)測預警系統(tǒng)存在邏輯缺陷漏洞(CNVD-2022-16618)
四創(chuàng)科技有限公司是一家致力于中國防災減災事業(yè)的技術型企業(yè)。四創(chuàng)科技有限公司山洪災害監(jiān)測預警系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16618
5、Huawei eCNS280_TD和ESE620X vESS授權問題漏洞
Huawei eCNS280_TD是中國華為(Huawei)公司的無線寬帶集群系統(tǒng)的核心網設備。Huawei ESE620X vESS是中國華為(Huawei)公司的一個虛擬企業(yè)服務控制器。Huawei eCNS280_TD和ESE620X vESS存在授權問題漏洞,該漏洞源于文件訪問未被正確授權。攻擊者可利用漏洞繞過目標系統(tǒng)上的授權過程。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20324
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺