您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220718-20220724)
一、境外廠商產(chǎn)品漏洞
1、Google Android資源管理錯(cuò)誤漏洞(CNVD-2022-52279)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在資源管理錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致需要系統(tǒng)執(zhí)行權(quán)限的本地權(quán)限升級(jí)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52279
2、Adobe Photoshop越界寫(xiě)入漏洞(CNVD-2022-52087)
Adobe Photoshop是美國(guó)奧多比(Adobe)公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe Photoshop存在越界寫(xiě)入漏洞。攻擊者可以利用該漏洞在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52087
3、Google Android任意代碼執(zhí)行漏洞
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在任意代碼執(zhí)行漏洞,該漏洞源于在mali_kbase_mem_linux.c的 kbase_mem_alias中,由于輸入驗(yàn)證錯(cuò)誤,可能存在任意代碼執(zhí)行,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52278
4、Oracle WebLogic Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-52566)
Oracle WebLogic Server是美國(guó)甲骨文(Oracle)公司的一款適用于云環(huán)境和傳統(tǒng)環(huán)境的應(yīng)用服務(wù)中間件,它提供了一個(gè)現(xiàn)代輕型開(kāi)發(fā)平臺(tái),支持應(yīng)用從開(kāi)發(fā)到生產(chǎn)的整個(gè)生命周期管理,并簡(jiǎn)化了應(yīng)用的部署和管理。Oracle WebLogic Server存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于Core組件中錯(cuò)誤的輸入驗(yàn)證。攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52566
5、Atlassian Confluence Server and Data Center存在命令執(zhí)行漏洞
Atlassian Confluence Server是澳大利亞Atlassian公司的一套具有企業(yè)知識(shí)管理功能,并支持用于構(gòu)建企業(yè)WiKi的協(xié)同軟件的服務(wù)器版本。Atlassian Confluence Server and Data Center存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50013
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda M3 formSetStoreWeb函數(shù)緩沖區(qū)溢出漏洞
Tenda M3是中國(guó)騰達(dá)(Tenda)公司的一款門(mén)禁控制器。Tenda M3 V1.0.0.12版本存在緩沖區(qū)溢出漏洞,該漏洞源于formSetStoreWeb函數(shù)的 ssidList, storeName, trademark參數(shù)對(duì)輸入數(shù)據(jù)不檢查其長(zhǎng)度。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52124
2、HUAWEI HarmonyOS絕服務(wù)漏洞
HUAWEI HarmonyOS是中國(guó)華為(HUAWEI)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS 2.0版本幀調(diào)度模塊存在拒絕服務(wù)漏洞,該漏洞源于幀調(diào)度模塊存在空指針漏洞,攻擊者可利用該漏洞會(huì)導(dǎo)致設(shè)備崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52822
3、吉翁電子(深圳)有限公司EX300_V2存在二進(jìn)制漏洞
EX300_V2是吉翁電子(深圳)有限公司的一款中繼器。吉翁電子(深圳)有限公司EX300_V2存在二進(jìn)制漏洞,攻擊者可利用該漏洞獲得服務(wù)器的控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49995
4、Huawei MindSpore Community Transpose信息泄露漏洞
Huawei MindSpore Community是中國(guó)華為(Huawei)公司的開(kāi)源深度學(xué)習(xí)框架。Huawei MindSpore Community Transpose存在信息泄露漏洞,該漏洞源于當(dāng) perm 元素中的值大于或等于 input_shape 的大小時(shí)將訪問(wèn)敏感數(shù)據(jù)。攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-52100
5、心通達(dá)OA 2022初夏端午版存在任意文件下載漏洞
心通達(dá)OA是一款搭載了AI人工智能的辦公軟件。心通達(dá)OA 2022初夏端午版存在任意文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50009
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)