您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220704-20220710)
一、境外廠商產(chǎn)品漏洞
1、IBM App Connect Enterprise Certified Container拒絕服務(wù)漏洞
IBM App Connect Enterprise是美國IBM公司的一個操作系統(tǒng)。IBM App Connect Enterprise將現(xiàn)有業(yè)界信任的IBM Integration Bus技術(shù)與IBM App Connect Professional以及新的云本機技術(shù)進行了組合,提供一個可滿足現(xiàn)代數(shù)字企業(yè)全面集成需求的平臺。IBM App Connect Enterprise Certified Container存在拒絕服務(wù)漏洞,該漏洞源于儀表板界面速率限制過高,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938
2、IBM Security Verify Access輸入驗證錯誤漏洞
IBM Security Verify Access(ISAM)是美國IBM公司的一款提高用戶訪問安全的服務(wù)。該服務(wù)通過使用基于風(fēng)險的訪問、單點登錄、集成訪問管理控制、身份聯(lián)合以及移動多因子認證實現(xiàn)對Web、移動、IoT 和云技術(shù)等平臺安全簡單的訪問。IBM Security Verify Access存在輸入驗證錯誤漏洞,該漏洞源于JWT令牌驗證錯誤,攻擊者可利用該漏洞獲取敏感信息或可能更改某些信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939
3、IBM Sterling Partner Engagement Manager信息泄露漏洞
IBM Sterling Partner Engagement Manager是美國IBM公司的一個自動化管理工具。IBM Sterling Partner Engagement Manager 6.2.0 版本存在信息泄露漏洞,經(jīng)過身份驗證的遠程攻擊者可利用該漏洞獲取敏感信息或修改用戶詳細信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937
4、Apache Commons遠程代碼執(zhí)行漏洞
Apache Commons是Apache軟件基金會的項目。Apache Commons存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過注入攻擊執(zhí)行惡意代碼、向網(wǎng)站寫webshell、控制整個網(wǎng)站甚至服務(wù)器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49973
5、IBM UrbanCode Deploy加密問題漏洞
IBM UrbanCode Deploy(UCD)是美國IBM公司的一套應(yīng)用自動化部署工具。該工具基于一個應(yīng)用部署自動化管理信息模型,并通過遠程代理技術(shù),實現(xiàn)對復(fù)雜應(yīng)用在不同環(huán)境下的自動化部署等。IBM UrbanCode Deploy存在加密問題漏洞,該漏洞源于軟件使用的加密算法比預(yù)期的要弱,攻擊者可利用該漏洞解密高度敏感的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48934
二、境內(nèi)廠商產(chǎn)品漏洞
1、網(wǎng)御星云網(wǎng)頁防篡改系統(tǒng)存在弱口令漏洞
北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務(wù)。網(wǎng)御星云網(wǎng)頁防篡改系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47241
2、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在邏輯缺陷漏洞
北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務(wù)。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47237
3、HUAWEI HarmonyOS信息泄露漏洞(CNVD-2022-50634)
HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。HUAWEI HarmonyOS安全組件存在安全漏洞,該漏洞源于芯片組件存在序列號被獲取的漏洞,攻擊者利用該漏洞可導(dǎo)致機密性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50634
4、TP-LINK TL-WR840N訪問控制錯誤漏洞
TP-LINK TL-WR840N是中國普聯(lián)(TP-LINK)公司的一款無線路由器。TP-Link TL-WR840N EU v6.20版本存在訪問控制錯誤漏洞,該漏洞源于UART控制臺不安全,攻擊者可利用該漏洞以root用戶的身份執(zhí)行命令而無需身份驗證。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50633
5、TP-LINK TL-WR840N緩沖區(qū)溢出漏洞
TP-LINK TL-WR840N是一款 無線路由器。TP-LINK TL-WR840N被發(fā)現(xiàn)包含通過DNS服務(wù)器參數(shù)溢出的緩沖區(qū)溢出。攻擊者可利用該漏洞導(dǎo)致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50635
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺