您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220912-20220918)
一、境外廠商產(chǎn)品漏洞
1、WordPress plugin Perfect Brands for WooCommerce信息泄露漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是WordPress的一個應(yīng)用插件。WordPress Plugin Perfect Brands for WooCommerce存在信息泄露漏洞,攻擊者可利用該漏洞允許服務(wù)器信息暴露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-62802
2、IBM InfoSphere Information Server命令執(zhí)行漏洞
IBM InfoSphere Information Server是美國IBM公司的一套數(shù)據(jù)整合平臺。該平臺可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在命令執(zhí)行漏洞,攻擊者可利用該漏洞通過發(fā)送特制請求在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63369
3、SAP NetWeaver Application Server跨站腳本漏洞(CNVD-2022-63625)
SAP NetWeaver Application Server是德國思愛普(SAP)公司的一款應(yīng)用程序服務(wù)器。SAP NetWeaver Application Server存在跨站腳本漏洞,攻擊者利用該漏洞可進(jìn)行跨站腳本 (XSS)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63625
4、IBM Security Identity Governance and Intelligence信息泄露漏洞(CNVD-2022-63183)
IBM Security Identity Governance and Intelligence(IGI)是美國IBM公司的一套身份治理解決方案。該產(chǎn)品包括生命周期管理、訪問風(fēng)險評估和身份認(rèn)證管理等功能。IBM Security Identity Governance and Intelligence 5.2.6版本存在信息泄露漏洞,攻擊者可利用該漏洞在URL參數(shù)中獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63183
5、IBM i SQL注入漏洞(CNVD-2022-63180)
IBM i是美國IBM公司的一套運(yùn)行在IBM Power Systems和IBM PureSystems中的操作系統(tǒng)。IBM i 7.3、7.4和7.5版本存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63180
二、境內(nèi)廠商產(chǎn)品漏洞
1、深信服科技股份有限公司虛擬化授權(quán)管理系統(tǒng)存在弱口令漏洞
深信服科技股份有限公司是專注于企業(yè)級網(wǎng)絡(luò)安全、云計算、IT基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)的產(chǎn)品和服務(wù)供應(yīng)商。深信服科技股份有限公司虛擬化授權(quán)管理系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48612
2、Tenda AX12跨站請求偽造漏洞(CNVD-2022-63551)
Tenda AX12是中國騰達(dá)(Tenda)公司的一款雙頻千兆Wifi 6無線路由器。Tenda AX12 V22.03.01.21_CN存在跨站請求偽造漏洞,該漏洞源于/goform/SysToolReboot中的sub_42E328函數(shù)未充分驗證請求是否來自可信用戶,攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執(zhí)行敏感操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63551
3、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御防火墻系統(tǒng)存在信息泄露漏洞
北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務(wù)。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)御防火墻系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59305
4、Tenda AX12跨站請求偽造漏洞(CNVD-2022-63550)
Tenda AX12是中國騰達(dá)(Tenda)公司的一款雙頻千兆Wifi 6無線路由器。Tenda AX12 V22.03.01.21_CN固件版本存在跨站請求偽造漏洞,該漏洞源于 /goform/WifiExtraSet的sub_422168函數(shù)未充分驗證請求是否來自可信用戶,攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執(zhí)行敏感操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-63550
5、TOTOLINK T8存在未授權(quán)連接Telnet服務(wù)漏洞
TOTOLINK T8是中國吉翁電子(TOTOLINK)公司的一款無線路由器。TOTOLINK T8存在未授權(quán)連接Telnet服務(wù)漏洞 ,攻擊者可利用該漏洞在未經(jīng)授權(quán)的情況下啟動telnet,獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61227
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺