您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220725-20220731)
一、境外廠商產(chǎn)品漏洞
1、Cybozu Garoon授權(quán)問題漏洞(CNVD-2022-54300)
Cybozu Garoon是日本才望子(Cybozu)公司的一套門戶型OA辦公系統(tǒng)。該系統(tǒng)提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在授權(quán)問題漏洞,該漏洞源于Scheduler中處理身份驗(yàn)證請求時(shí)出現(xiàn)錯(cuò)誤。攻擊者可利用此漏洞繞過身份驗(yàn)證過程并獲取設(shè)施信息的一些數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54300
2、Cybozu Garoon輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-54301)
Cybozu Garoon是日本才望子(Cybozu)公司的一套門戶型OA辦公系統(tǒng)。該系統(tǒng)提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在輸入驗(yàn)證錯(cuò)誤漏洞,該漏洞源于Scheduler中用戶提供的輸入驗(yàn)證不足。攻擊者可利用此漏洞將特制輸入傳遞給應(yīng)用程序并更改調(diào)度程序的數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54301
3、TrueConf Server跨站請求偽造漏洞
TrueConf Server是俄羅斯TrueConf公司的一種自托管和安全的視頻協(xié)作平臺。TrueConf Server 4.3.7版本存在跨站請求偽造漏洞,遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行跨站點(diǎn)請求偽造攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-53536
4、Cybozu Garoon操作限制繞過漏洞(CNVD-2022-53805)
Cybozu Garoon是日本才望子(Cybozu)公司的一套門戶型OA辦公系統(tǒng)。該系統(tǒng)提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在操作限制繞過漏洞,該漏洞源于Link中權(quán)限管理不當(dāng),攻擊者可利用該漏洞更改Link數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-53805
5、Cybozu Garoon授權(quán)問題漏洞(CNVD-2022-54304)
Cybozu Garoon是日本才望子(Cybozu)公司的一套門戶型OA辦公系統(tǒng)。該系統(tǒng)提供門戶、E-mail、書簽、日程安排、公告欄、文件管理等功能。Cybozu Garoon存在授權(quán)問題漏洞,該漏洞源于Workflow中權(quán)限管理不當(dāng)。攻擊者可利用該漏洞更改Workflow的數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54304
二、境內(nèi)廠商產(chǎn)品漏洞
1、H3C Magic R200緩沖區(qū)溢出漏洞
H3C Magic R200是一款無線路由器設(shè)備。H3C Magic R200 dotrace.asp處理EditvsList參數(shù)存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可利用漏洞提交特殊的請求,可使服務(wù)程序崩潰或以應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54324
2、H3C Magic R200緩沖區(qū)溢出漏洞(CNVD-2022-54322)
H3C Magic R200是一款無線路由器設(shè)備。H3C Magic R200 AJAX/ajaxget處理ajaxmsg參數(shù)存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可利用漏洞提交特殊的請求,可使服務(wù)程序崩潰或以應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54322
3、H3C Magic R200緩沖區(qū)溢出漏洞(CNVD-2022-54321)
H3C Magic R200是中國新華三(H3C)公司的一款路由器。H3C Magic R200 R200V200R004L02版本存在安全漏洞,該漏洞源于doping.asp的HOST參數(shù)被發(fā)現(xiàn)包含堆棧溢出。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54321
4、H3C Magic R200緩沖區(qū)溢出漏洞(CNVD-2022-54323)
H3C Magic R200是一款無線路由器設(shè)備。H3C Magic R200 doping.asp處理INTF參數(shù)存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者利用漏洞提交特殊的請求,可使服務(wù)程序崩潰或以應(yīng)用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54323
5、用友網(wǎng)絡(luò)科技股份有限公司U8 cloud存在邏輯缺陷漏洞
U8 cloud是用友推出的新一代云ERP,主要聚焦成長型、創(chuàng)新型企業(yè),提供企業(yè)級云ERP整體解決方案。用友網(wǎng)絡(luò)科技股份有限公司U8 cloud存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51756
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺