您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220829-20220904)
一、境外廠商產(chǎn)品漏洞
1、Microsoft .NET Framework拒絕服務(wù)漏洞(CNVD-2022-60136)
Microsoft .NET Framework是美國微軟(Microsoft)公司的一種全面且一致的編程模型,也是一個用于構(gòu)建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的應(yīng)用程序的開發(fā)平臺。該平臺包括C#和Visual Basic編程語言、公共語言運行庫和廣泛的類庫。Microsoft .NET Framework存在拒絕服務(wù)漏洞。該漏洞源于未對輸入的錯誤消息做正確的處理,攻擊者可利用此漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60136
2、FFmpeg shorten_decode_frame()函數(shù)拒絕服務(wù)漏洞
FFmpeg是Ffmpeg團隊的一套可錄制、轉(zhuǎn)換以及流化音視頻的完整解決方案。FFmpeg shorten_decode_frame()函數(shù)存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60139
3、Telesquare TLR-2005Ksh任意文件刪除漏洞
Telesquare Tlr-2005Ksh是韓國Telesquare公司的一款Sk電訊Lte路由器。Telesquare TLR-2005Ksh 1.0.0版本存在任意文件刪除漏洞,該漏洞源于不當(dāng)?shù)脑L問控制。遠(yuǎn)程攻擊者可利用此漏洞通過DELETE請求刪除任何文件,甚至是系統(tǒng)內(nèi)部文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61620
4、Microsoft Visual Studio遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2022-60134)
Microsoft Visual Studio是美國微軟(Microsoft)公司的一款開發(fā)工具套件系列產(chǎn)品,也是一個基本完整的開發(fā)工具集,它包括了整個軟件生命周期中所需要的大部分工具。Microsoft Visual Studio存在遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞源于外部輸入數(shù)據(jù)構(gòu)造代碼段的過程中,網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未能正確過濾其中的特殊元素。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60134
5、Microsoft Edge (Chromium-based) 權(quán)限提升漏洞
Microsoft Edge是一款Windows 10之后版本系統(tǒng)附帶的Web瀏覽器。Microsoft Edge (Chromium-based) 存在權(quán)限提升漏洞。攻擊者可利用該漏洞以更高的權(quán)限執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60131
二、境內(nèi)廠商產(chǎn)品漏洞
1、北京七陌科技有限公司智能客服系統(tǒng)存在信息泄露漏洞
北京七陌科技有限公司是一家以AI和通訊技術(shù)為核心、數(shù)據(jù)為驅(qū)動的科技型公司。北京七陌科技有限公司智能客服系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57479
2、上海泛微網(wǎng)絡(luò)科技股份有限公司泛微E-Weaver存在任意文件下載漏洞
E-Weaver是泛微協(xié)同管理平臺。上海泛微網(wǎng)絡(luò)科技股份有限公司泛微E-Weaver存在任意文件下載漏洞,攻擊者可利用漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57541
3、上海商湯智能科技有限公司SenseLink智能物聯(lián)平臺存在弱口令漏洞
上海商湯智能科技有限公司,目前業(yè)務(wù)涵蓋智慧商業(yè)、智慧城市、智慧生活、智能汽車四大板塊。上海商湯智能科技有限公司SenseLink智能物聯(lián)平臺存在弱口令漏洞,攻擊者利用該漏洞登錄系統(tǒng)后臺,獲取敏感信息 。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56013
4、WAVLINK WN535 G3信息泄露漏洞
WAVLINK WN535 G3是中國WAVLINK公司的一個無線路由器。WAVLINK WN535 G3 M35G3R.V5030.180927版本存在信息泄露漏洞,該漏洞源于live_mfg.shtml頁面存在不當(dāng)?shù)氖跈?quán)管理,攻擊者可利用該漏洞獲取敏感的路由器信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61035
5、H3C SSL VPN跨站腳本漏洞
H3C SSL VPN是中國新華三(H3C)公司的安全會話層VPN。H3C SSL VPN 2022-07-10及以前版本存在跨站腳本漏洞,遠(yuǎn)程攻擊者可利用該漏洞允許wnm/login/login.json svpnlang跨站腳本攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60660
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺