您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221010-20221016)
一、境外廠商產(chǎn)品漏洞
1、Adobe Character Animator 2021內(nèi)存損壞漏洞(CNVD-2022-67832)
Adobe Character Animator是美國(guó)奧多比(Adobe)公司的一款動(dòng)作捕捉和動(dòng)畫(huà)制作工具。Adobe Character Animator 2021 4.4及更早版本存在內(nèi)存損壞漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-67832
2、Microsoft Azure Site Recovery遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2022-67840)
Microsoft Azure Site Recovery(ASR)是Azure提供的一種DRaaS,用于云和混合云架構(gòu)。Microsoft Azure Site Recovery存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞在目標(biāo)主機(jī)上執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-67840
3、Canon Medical Vitrea View跨站腳本漏洞
Canon Medical Vitrea View是日本佳能(Canon)公司的一種支持DICOM網(wǎng)絡(luò)的企業(yè)查看解決方案。用于直觀顯示DICOM和多媒體圖像。Canon Medical Vitrea View存在跨站腳本漏洞。攻擊者利用該漏洞執(zhí)行任意web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-68268
4、ARRIS TR3300命令注入漏洞(CNVD-2022-68527)
ARRIS TR3300是美國(guó)ARRIS公司的一款802.11ac Wi-Fi路由器。ARRIS TR3300存在命令注入漏洞,該漏洞源于pptp函數(shù)中的pptp_fix_ip、pptp_fix_mask、pptp_fix_gw 和 wan_dns1_stat參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等。攻擊者可利用此漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-68527
5、TP-LINK AX10代碼注入漏洞
TP-LINK AX10是中國(guó)普聯(lián)(TP-LINK)公司的一款路由器。TP-LINK AX10 1.3.1版本存在代碼注入漏洞,該漏洞源于通過(guò)特制的備份文件可以執(zhí)行任意代碼。攻擊者可利用該漏洞生成非法的代碼段,修改網(wǎng)絡(luò)系統(tǒng)或組件的預(yù)期的執(zhí)行控制流。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-68267
二、境內(nèi)廠商產(chǎn)品漏洞
1、達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在二進(jìn)制漏洞
達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)是達(dá)夢(mèng)公司推出的具有完全自主知識(shí)產(chǎn)權(quán)的高性能數(shù)據(jù)庫(kù)管理系統(tǒng),簡(jiǎn)稱DM。達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在二進(jìn)制漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-67052
2、暢捷通T+專屬云存在命令執(zhí)行漏洞
暢捷通T+專屬云是一款集做生意、管生意、看經(jīng)營(yíng)全場(chǎng)景的云ERP系統(tǒng)。暢捷通T+專屬云存在命令執(zhí)行漏洞,攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60469
3、Synology Media Server信息泄露漏洞
Synology Media Server是一個(gè)媒體服務(wù)器。Synology Media Server 1.8.1-2876之前版本存在信息泄露漏洞,遠(yuǎn)程攻擊者可利用該漏洞通過(guò)未明的向量獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-67858
4、ASUS RT-AX56U緩沖區(qū)溢出漏洞
ASUS RT-AX56U是中國(guó)華碩(ASUS)公司的一款無(wú)線路由器。ASUS RT-AX56U Router固件 3.0.0.4.386.44266版本存在緩沖區(qū)溢出漏洞,該漏洞源于strcat函數(shù)對(duì)于用戶輸入的數(shù)據(jù)缺乏長(zhǎng)度校驗(yàn),攻擊者可利用該漏洞可以遠(yuǎn)程執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-68280
5、Synology DiskStation Manager緩沖區(qū)溢出漏洞
Synology DiskStation Manager(DSM)是中國(guó)臺(tái)灣群暉科技(Synology)公司的一套用于網(wǎng)絡(luò)儲(chǔ)存服務(wù)器(NAS)上的操作系統(tǒng)。該操作系統(tǒng)可管理資料、文件、照片、音樂(lè)等信息。Synology DiskStation Manager (DSM)存在緩沖區(qū)溢出漏洞,該漏洞源于Authentication功能中的緩沖區(qū)復(fù)制不檢查輸入大小。攻擊者可利用該漏洞借助未知向量執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-67847
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)