您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220321-20220327)
一、境外廠商產(chǎn)品漏洞
1、WordPress Tradetracker-Store SQL注入漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPressTradetracker-Store存在SQL注入漏洞,該漏洞源于插件中xmlfeed的測試參數(shù)在插入到SQL語句之前未進(jìn)行消毒、轉(zhuǎn)義或驗(yàn)證,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22334
2、Netgear DGND3700v2命令執(zhí)行漏洞
Netgear是?家1996年成?,總部位于加州圣荷西的電腦?絡(luò)設(shè)備開發(fā)商。DGND3700v2是Netgear 旗下?款?線路由器。Netgear DGND3700v2命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22338
3、Nextcloud Talk輸入驗(yàn)證錯(cuò)誤漏洞
Nextcloud Talk是德國Nextcloud公司的一款自托管的本地音頻/視頻和聊天通信服務(wù)。Nextcloud Talk 12.1.2之前版本存在用戶重定向漏洞,該漏洞源于系統(tǒng)未對(duì)目標(biāo)跳轉(zhuǎn)的未做合理處理,攻擊者可利用該漏洞將用戶重定向的惡意網(wǎng)站從事釣魚等攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21824
4、Samsung Wear Os訪問控制錯(cuò)誤漏洞
Samsung Wear Os是韓國三星(Samsung)公司的一個(gè)Android操作系統(tǒng)的版本。專為智能手表等可穿戴式電腦設(shè)備所設(shè)計(jì)。Samsung Wear Os 3中的 StRetailModeReceiver 存在訪問控制錯(cuò)誤漏洞,該漏洞源于不受信任的應(yīng)用程序在沒有適當(dāng)權(quán)限的情況下允許重置默認(rèn)設(shè)置。攻擊者可利用此漏洞導(dǎo)致未經(jīng)授權(quán)的應(yīng)用程序意外訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21821
5、Adobe After Effects緩沖區(qū)溢出漏洞(CNVD-2022-22096)
Adobe After Effects是美國奧多比(Adobe)公司的一套視覺效果和動(dòng)態(tài)圖形制作軟件。Adobe After Effects存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22096
二、境內(nèi)廠商產(chǎn)品漏洞
1、Nacos跨站腳本漏洞
Nacos是中國阿里巴巴(Alibaba)的一個(gè)動(dòng)態(tài)服務(wù)發(fā)現(xiàn)、配置和服務(wù)管理平臺(tái)。該軟件支持基于 DNS 和基于 RPC 的服務(wù)發(fā)現(xiàn),可提供提供實(shí)時(shí)健康檢查,阻止服務(wù)向不健康的主機(jī)或服務(wù)實(shí)例發(fā)送請(qǐng)求等功能。Nacos 2.0.3版本中存在跨站腳本漏洞,該漏洞源于pageSize 和 pageNo 參數(shù)缺少對(duì)用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗(yàn)過濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21816
2、Totolink X5000R和TotoLink A7000R命令注入漏洞(CNVD-2022-21813)
Totolink X5000R是中國Totolink公司的一個(gè)路由器。TotoLink A7000R是中國TotoLink公司的一款無線路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻擊者可利用該漏洞通過精心制作的請(qǐng)求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21813
3、Tenda AX1806緩沖區(qū)溢出漏洞
Tenda AX1806是中國騰達(dá)(Tenda)公司的一個(gè)WiFi6無線路由器。Tenda AX1806 v1.0.0.1存在安全漏洞,該漏洞源于函數(shù)saveParentControlInfo的堆溢出。攻擊者可利用該漏洞通過urls參數(shù)導(dǎo)致拒絕服務(wù)(DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21819
4、四創(chuàng)科技有限公司河長制綜合管理平臺(tái)存在SQL注入漏洞
四創(chuàng)科技有限公司是中國減災(zāi)興利信息服務(wù)提供商。四創(chuàng)科技有限公司河長制綜合管理平臺(tái)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16316
5、Totolink X5000R和TotoLink A7000R命令注入漏洞
Totolink X5000R是中國Totolink公司的一個(gè)路由器。TotoLink A7000R是中國TotoLink公司的一款無線路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻擊者可利用該漏洞通過精心制作的請(qǐng)求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21814
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
原文來源:CNVD漏洞平臺(tái)