您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220606-20220612)
一、境外廠商產(chǎn)品漏洞
1、Simple Real Estate Portal System SQL注入漏洞
Simple Real Estate Portal System是Carlo Montero個(gè)人開發(fā)者的一個(gè)房地產(chǎn)門戶系統(tǒng)。Simple Real Estate Portal System v1.0 版本存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43408
2、Google Android權(quán)限提升漏洞(CNVD-2022-43847)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在權(quán)限提升漏洞,該漏洞源于在acropora/app/identity/ic.c的ic_startRetrieveEntryValue中缺少對返回值的驗(yàn)證,可能會繞過縱深防御。具有系統(tǒng)執(zhí)行權(quán)限的攻擊者可利用該漏洞導(dǎo)致本地權(quán)限升級。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43847
3、多款A(yù)dobe產(chǎn)品資源管理錯(cuò)誤漏洞(CNVD-2022-43384)
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印,簽名和注釋PDF。多款A(yù)dobe產(chǎn)品存在資源管理錯(cuò)誤漏洞,攻擊者可利用漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43384
4、Cisco Firepower Threat Defense資源管理錯(cuò)誤漏洞(CNVD-2022-43404)
Cisco Firepower Threat Defense是美國思科(Cisco)公司的一套提供下一代防火墻服務(wù)的統(tǒng)一軟件。Cisco Firepower Threat Defense存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞在受影響的設(shè)備上造成拒絕服務(wù)條件 (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43404
5、WordPress WPvivid Backup and Migration plugin任意文件讀取漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是WordPress開源的一個(gè)應(yīng)用插件。WordPress WPvivid Backup and Migration plugin 0.9.70版本及之前版本存在任意文件讀取漏洞,攻擊者可利用該漏洞導(dǎo)致任意文件讀取。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44247
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei HarmonyOS DFX模塊釋放后重用漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS DFX模塊存在釋放后重用漏洞。該漏洞源于DFX模塊負(fù)責(zé)釋放內(nèi)存的指令發(fā)生混亂,攻擊者可利用該漏洞可能導(dǎo)致系統(tǒng)穩(wěn)定性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44624
2、北京華宇信息技術(shù)有限公司TAS管理控制臺存在弱口令漏洞
北京華宇信息技術(shù)有限公司是一家以軟件與信息服務(wù)為主營業(yè)務(wù)的智慧信息服務(wù)公司。北京華宇信息技術(shù)有限公司TAS管理控制臺存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-40910
3、Huawei HarmonyOS整數(shù)溢出漏洞(CNVD-2022-44616)
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS 2.0版本存在整數(shù)溢出漏洞。該漏洞源于HarmonyOS的kernel模塊存在錯(cuò)誤的輸入驗(yàn)證。攻擊者可利用該漏洞導(dǎo)致設(shè)備的機(jī)密性或可用性受到影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44616
4、Roothub SQL注入漏洞
Roothub是一個(gè)使用SSM和MySQL開發(fā)的論壇系統(tǒng)。Roothub存在SQL注入漏洞,該漏洞源于在Topics Counting功能中s參數(shù)缺少對外部輸入SQL語句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44244
5、Huawei HarmonyOS DFX模塊訪問控制錯(cuò)誤漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS DFX模塊存在訪問控制錯(cuò)誤漏洞。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未正確限制來自未授權(quán)角色的資源訪問。攻擊者可利用該漏洞導(dǎo)致未授權(quán)訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44625
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺