您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220822-20220828)
一、境外廠商產(chǎn)品漏洞
1、Adobe Acrobat Reader緩沖區(qū)溢出漏洞(CNVD-2022-58464)
Adobe Acrobat Reader是美國奧多比(Adobe)公司的一款PDF查看器。該軟件用于打印,簽名和注釋 PDF。Adobe Acrobat Reader存在緩沖區(qū)溢出漏洞,該漏洞源于越界寫入。攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58464
2、SAP Business One CSV注入漏洞
SAP Business One是德國思愛普(SAP)公司的一套企業(yè)管理軟件。該軟件包括財(cái)務(wù)管理、運(yùn)營管理和人力資源管理等功能。SAP Business One 10.0版本存在CSV注入漏洞,攻擊者可利用該漏洞在受害者的計(jì)算機(jī)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58470
3、Microsoft HEVC Video Extensions遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2022-59676)
Microsoft HEVC Video Extensions是美國微軟(Microsoft)公司的一個(gè)視頻擴(kuò)展應(yīng)用程序。該應(yīng)用使計(jì)算機(jī)和設(shè)備可以讀取高效視頻編碼或HEVC視頻。Microsoft HEVC Video Extensions存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59676
4、Fidelis Network Deception命令注入漏洞
Fidelis Network Deception是美國Fidelis公司的一款安全產(chǎn)品。用于檢測威脅并防止數(shù)據(jù)丟失,有檢測惡意行為、識(shí)別流量異常、自動(dòng)響應(yīng)高級(jí)威脅等功能。Fidelis Network and Deception 9.4.5之前版本存在命令注入漏洞,該漏洞源于CommandPost的feed參數(shù)在使用feed_comm_test值時(shí)存在命令注入,攻擊者可利用該漏洞通過特殊的HTTP請(qǐng)求執(zhí)行系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59173
5、Linksys MR8300操作系統(tǒng)命令注入漏洞
Linksys MR8300是美國Linksys公司的一款高性能三頻路由器。Linksys MR8300 Router 1.0版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于在注冊(cè)DDNS服務(wù)時(shí),通過指定用戶名和密碼,攻擊者可以利用該漏洞執(zhí)行任意操作系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59208
二、境內(nèi)廠商產(chǎn)品漏洞
1、網(wǎng)御漏洞掃描系統(tǒng)存在命令執(zhí)行漏洞
北京網(wǎng)御星云信息技術(shù)有限公司業(yè)務(wù)涵蓋網(wǎng)絡(luò)邊界安全防護(hù)、應(yīng)用與數(shù)據(jù)安全防護(hù)、全網(wǎng)安全風(fēng)險(xiǎn)管理、專業(yè)安全解決方案和專業(yè)安全服務(wù)等多個(gè)方向。網(wǎng)御漏洞掃描系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56532
2、WUZHI CMS SQL注入漏洞(CNVD-2022-59014)
WUZHI CMS是五指(WUZHI)公司的一套基于PHP和MySQL的開源內(nèi)容管理系(CMS)。WUZHI CMS v4.1.0版本存在SQL注入漏洞,攻擊者可利用該漏洞通過/coreframe/app/pay/admin/index.php中的$keyValue參數(shù)執(zhí)行任意SQL命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59014
3、Lenovo Personal Cloud Storage信息泄露漏洞
Lenovo Personal Cloud Storage是中國聯(lián)想(Lenovo)公司的一個(gè)云存儲(chǔ)平臺(tái)。Lenovo Personal Cloud Storage存在信息泄露漏洞,攻擊者可利用該漏洞檢索設(shè)備和網(wǎng)絡(luò)詳細(xì)信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59197
4、Huawei MindSpore Community Tile信息泄露漏洞
Huawei MindSpore Community是中國華為(Huawei)公司的開源深度學(xué)習(xí)框架。Huawei MindSpore Community Tile存在信息泄露漏洞,該漏洞源于當(dāng)輸入數(shù)據(jù)類型不是int或int32時(shí)將訪問敏感數(shù)據(jù)。攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59378
5、Lenovo Personal Cloud Storage信任管理問題漏洞
Lenovo Personal Cloud Storage(聯(lián)想個(gè)人云存儲(chǔ))是中國聯(lián)想(Lenovo)公司的一款個(gè)人云存儲(chǔ)。Lenovo Personal Cloud Storage存在信任管理問題漏洞,該漏洞源于Web界面和串行端口的默認(rèn)管理員密碼較弱,攻擊者可利用該漏洞通過物理或本地網(wǎng)絡(luò)訪問未經(jīng)授權(quán)的設(shè)備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59196
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)