您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220620-20220626)
一、境外廠商產(chǎn)品漏洞
1、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-46294)
Google Android是美國(guó)谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在緩沖區(qū)溢出漏洞,該漏洞源于在藍(lán)牙中,缺少邊界檢查,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限升級(jí)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294
2、IBM Security Guardium弱加密算法漏洞(CNVD-2022-46309)
IBM Security Guardium是美國(guó)IBM公司的一套提供數(shù)據(jù)保護(hù)功能的平臺(tái)。該平臺(tái)包括自定義UI、報(bào)告管理和流線化的審計(jì)流程構(gòu)建等功能。IBM Security Guardium存在弱加密算法漏洞,該漏洞源于IBM Security Guardium使用的加密算法比預(yù)期的要弱。攻擊者可利用該漏洞解密敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46309
3、Microsoft DFSCoerce域控提權(quán)漏洞
Windows Server是微軟在2003年4月24日推出的Windows的服務(wù)器操作系統(tǒng),其核心是Microsoft Windows Server System(WSS)。Microsoft DFSCoerce存在域控提權(quán)漏洞,攻擊者可利用漏洞通過(guò)向AD CS請(qǐng)求域控主機(jī)的證書,借助Kerberos的證書認(rèn)證擴(kuò)展實(shí)現(xiàn)域內(nèi)提權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46482
4、Cisco Iox路徑遍歷漏洞
Cisco Iox是美國(guó)思科(Cisco)公司的一個(gè)結(jié)合了Cisco IOS和Linux OS用于安全網(wǎng)絡(luò)連接以及開發(fā)IOT應(yīng)用的安全開發(fā)環(huán)境。Cisco Iox存在路徑遍歷漏洞,攻擊者可利用該漏洞通過(guò)使用API發(fā)送精心編制的命令請(qǐng)求來(lái)讀取位于基礎(chǔ)主機(jī)文件系統(tǒng)上的任何文件的內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961
5、WordPress Advanced Contact form 7 DB跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會(huì)的產(chǎn)品。WordPress是一套使用PHP語(yǔ)言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress Advanced Contact form 7 DB 1.8.7及其之前版本存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意的JavaScript程序,竊取其他用戶cookie等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46769
二、境內(nèi)廠商產(chǎn)品漏洞
1、四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞(CNVD-2022-41797)
四創(chuàng)科技有限公司是一家致力于中國(guó)防災(zāi)減災(zāi)事業(yè),為政府提供防災(zāi)減災(zāi)信息化全面解決方案的公司。四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41797
2、ZTE ZXMP M721權(quán)限和訪問(wèn)控制漏洞
ZTE ZXMP M721是中國(guó)中興通訊(ZTE)公司的一款城域邊緣OTN(光傳送網(wǎng))設(shè)備。ZTE ZXMP M721存在權(quán)限和訪問(wèn)控制漏洞,該漏洞源于sftp查看的文件夾權(quán)限為666,與實(shí)際權(quán)限不一致,攻擊者可利用該漏洞獲得更高的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47340
3、Xiaomi Router AX6000信息泄露漏洞
Xiaomi Router AX6000是中國(guó)小米(Xiaomi)公司的一款路由器。Xiaomi Router AX6000 1.0.56之前存在信息泄露漏洞,該漏洞源于路由配置錯(cuò)誤,攻擊者可利用該漏洞下載小米R(shí)outer AX6000中的部分文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47338
4、ZTE ZXCDN跨站腳本漏洞
ZTE ZXCDN是中國(guó)中興(ZTE)公司的一款統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)。ZTE ZXCDN存在跨站腳本漏洞。該漏洞源于程序缺少對(duì)用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗(yàn)過(guò)濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47339
5、Xiaomi Router AX3600命令注入漏洞
Xiaomi router AX3600是中國(guó)Xiaomi公司的一款路由器。Xiaomi Router AX3600 1.1.15之前存在命令注入漏洞,該漏洞源于缺乏對(duì)傳入數(shù)據(jù)的檢查,攻擊者可利用漏洞執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47337
說(shuō)明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD