您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220711-20220717)
一、境外廠商產(chǎn)品漏洞
1、WordPress Coming soon and Maintenance mode跨站請求偽造漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是WordPress開源的一個應(yīng)用插件。WordPress Coming soon and Maintenance mode存在跨站請求偽造漏洞,該漏洞源于插件未CSRF檢查,攻擊者可利用該漏洞通過CSRF攻擊將任意郵件發(fā)送給所有訂閱用戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51184
2、Fortinet FortiPortal安全特征問題漏洞
Fortinet FortiPortal是美國飛塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級、功能豐富的托管安全分析和管理支持工具,可作為虛擬機(jī)供MSP使用。Fortinet FortiPortal 6.0.6之前版本存在安全特征問題漏洞,該漏洞源于FortiPortal 的密碼重置功能中使用弱偽隨機(jī)數(shù)生成器,攻擊者可利用該漏洞在給定時間范圍內(nèi)預(yù)測部分或全部新生成的密碼 。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955
3、SAP 3D Visual Enterprise Viewer輸入驗(yàn)證錯誤漏洞(CNVD-2022-50940)
SAP 3D Visual Enterprise Viewer是德國思愛普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業(yè)標(biāo)準(zhǔn)的桌面應(yīng)用中發(fā)布2D、3D場景,并支持以獨(dú)立可執(zhí)行程序和ActiveX空間單獨(dú)安裝。SAP 3D Visual Enterprise Viewer存在輸入驗(yàn)證錯誤漏洞,攻擊者可利用該漏洞導(dǎo)致應(yīng)用程序崩潰并且用戶暫時無法使用,直到重新啟動應(yīng)用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940
4、Apache NiFi命令注入漏洞
Apache NiFi是美國阿帕奇(Apache)基金會的一套數(shù)據(jù)處理和分發(fā)系統(tǒng)。該系統(tǒng)主要用于數(shù)據(jù)路由、轉(zhuǎn)換和系統(tǒng)中介邏輯。Apache NiFi Registry是其中的一個用于存儲和管理版本化流程的注冊表。Apache NiFi 1.10.0版本至1.16.2版本、Apache NiFi Registry 0.6.0版本至1.16.2版本存在命令注入漏洞。該漏洞源于用戶輸入構(gòu)造執(zhí)行命令過程中,網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未能正確過濾其中的特殊字符、命令等。攻擊者可利用該漏洞在Linux和macOS平臺上注入操作系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056
5、SAP PowerDesigner代碼問題漏洞
SAP PowerDesigner是德國思愛普(SAP)公司的一款數(shù)據(jù)庫設(shè)計(jì)軟件。SAP PowerDesigner Proxy 16.7版本存在代碼問題漏洞,攻擊者可利用該漏洞繞過系統(tǒng)的根磁盤訪問限制,在系統(tǒng)磁盤根路徑上寫入或創(chuàng)建程序文件,并提升應(yīng)用程序的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943
二、境內(nèi)廠商產(chǎn)品漏洞
1、禾匠榜店商城系統(tǒng)存在命令執(zhí)行漏洞
浙江禾匠信息科技有限公司是一家專業(yè)從事移動互聯(lián)網(wǎng)技術(shù)開發(fā)的科技型公司。禾匠榜店商城系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51194
2、易勤WEB考勤管理軟件存在SQL注入漏洞
易勤WEB考勤管理軟件是一款網(wǎng)絡(luò)版B/S架構(gòu)WEB考勤管理軟件。易勤WEB考勤管理軟件存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48623
3、D-Link DIR-890L存在二進(jìn)制漏洞
D-Link DIR-890L是一款無線路由器。D-Link DIR-890L存在二進(jìn)制漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán) 。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51196
4、北京寶蘭德軟件股份有限公司BES管理控制臺存在未授權(quán)訪問漏洞
北京寶蘭德軟件股份有限公司是一家專注于基礎(chǔ)軟件研發(fā)及推廣的高新技術(shù)軟件企業(yè)。北京寶蘭德軟件股份有限公司BES管理控制臺存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48616
5、Robustel R1510操作系統(tǒng)命令注入漏洞(CNVD-2022-51425)
Robustel R1510是中國Robustel公司的一款工業(yè)VPN路由器。Robustel R1510存在操作系統(tǒng)命令注入漏洞,該漏洞源于特制的網(wǎng)絡(luò)數(shù)據(jù)包可在`/ajax/set_sys_time/`API中受到命令注入漏洞的影響,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51425
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:國家信息安全漏洞共享平臺