您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221017-20221023)
一、境外廠商產(chǎn)品漏洞
1、Apache Dubbo Hession反序列化漏洞
Apache Dubbo是一款微服務(wù)開發(fā)框架,它提供了RPC通信與微服務(wù)治理兩大關(guān)鍵能力。Apache Dubbo Hession存在反序列化漏洞,攻擊者可利用該漏洞在目標(biāo)服務(wù)器上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70071
2、Rocket.Chat SQL注入漏洞
Rocket.Chat是一套開源的團(tuán)隊(duì)聊天軟件。Rocket.Chat 存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對(duì)外部輸入SQL語句的驗(yàn)證。攻擊者可利用該漏洞通過2fa secret或2fa secret檢索重置密碼令牌。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70028
3、Wedding Planner select.php SQL注入漏洞
Wedding Planner是一個(gè)婚禮策劃師項(xiàng)目。旨在為用戶提供一種簡單的方法,讓他們?cè)谑褂谜鎸?shí)數(shù)據(jù)的同時(shí)通過 Web 應(yīng)用程序來計(jì)劃他們的婚禮。Wedding Planner v1.0版本存在 SQL注入漏洞,該漏洞源于/admin/select.php中的id參數(shù)缺少對(duì)外部輸入SQL語句的驗(yàn)證。攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70026
4、Oracle E-Business Suite訪問控制錯(cuò)誤漏洞
Oracle公司(甲骨文)是全球最大的信息管理軟件及服務(wù)供應(yīng)商,成立于1977年,總部位于美國加州Redwood shore,面向全球開放oracle認(rèn)證。Oracle E-Business Suite(電子商務(wù)套件)是美國甲骨文(Oracle)公司的一套全面集成式的全球業(yè)務(wù)管理軟件。該軟件提供了客戶關(guān)系管理、服務(wù)管理、財(cái)務(wù)管理等功能。Oracle E-Business Suite(組件:Manage Proxies)12.2版本存在訪問控制錯(cuò)誤漏洞。攻擊者可利用該漏洞通過HTTP進(jìn)行網(wǎng)絡(luò)訪問,導(dǎo)致未經(jīng)授權(quán)訪問關(guān)鍵數(shù)據(jù)或完全訪問所有Oracle E-Business Suite可訪問的數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70079
5、Microsoft Windows Print Spooler Components權(quán)限提升漏洞(CNVD-2022-70056)
Microsoft Windows Print Spooler Components是美國微軟(Microsoft)公司的一個(gè)打印后臺(tái)處理程序組件。Microsoft Windows Print Spooler Components存在權(quán)限提升漏洞。該漏洞源于不正確的程序?qū)Ω呒?jí)本地過程的調(diào)用。攻擊者可利用此漏洞導(dǎo)致權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70056
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda TX3存在未明漏洞(CNVD-2022-70578)
Tenda TX3是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda TX3存在安全漏洞,該漏洞源于/goform/SetSysTimeCfg的timeZone參數(shù)包含堆棧溢出。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70578
2、網(wǎng)神SecGate 3600防火墻存在文件上傳漏洞
網(wǎng)神SecGate 3600防火墻是基于狀態(tài)檢測(cè)包過濾和應(yīng)用級(jí)代理的復(fù)合型硬件防火墻。網(wǎng)神SecGate 3600防火墻存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58824
3、Tenda TX3存在未明漏洞(CNVD-2022-70592)
Tenda TX3是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda TX3存在安全漏洞,該漏洞源于/goform/SetPptpServerCfg的endIp參數(shù)包含堆棧溢出。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70592
4、NUUO NVRmini2授權(quán)問題漏洞
NUUO NVRMini2是中國臺(tái)灣NUUO公司的一款小型網(wǎng)絡(luò)硬盤錄像機(jī)設(shè)備。NUUO NVRmini2存在授權(quán)問題漏洞,攻擊者可利用該漏洞上傳加密的TAR存檔。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70105
5、Tenda TX3存在未明漏洞(CNVD-2022-70576)
Tenda TX3是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda TX3 US_TX3V1.0br_V16.03.13.11_multi_TDE01存在安全漏洞,該漏洞源于/goform/SetVirtualServerCfg的list參數(shù)包含堆棧溢出。目前沒有詳細(xì)的漏洞細(xì)節(jié)提供。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70576
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)