您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221212-20221218)
一、境外廠商產(chǎn)品漏洞
1、Adobe Experience Manager跨站腳本漏洞(CNVD-2022-87165)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動應用程序和表單的內(nèi)容管理解決方案。Adobe Experience Manager存在跨站腳本漏洞,攻擊者利用該漏洞在受害者瀏覽器的上下文中執(zhí)行惡意JavaScript內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87165
2、Johnson Controls Metasys ADX Server授權(quán)問題漏洞
Johnson Controls Metasys ADX Server是美國江森自控(Johnson Controls)公司的一款數(shù)據(jù)服務器。用于管理大量趨勢數(shù)據(jù)、事件消息、操作員事務和系統(tǒng)配置數(shù)據(jù)。Johnson Controls Metasys ADX Server 12.0版本存在授權(quán)問題漏洞,該漏洞源于應用程序存在不當?shù)脑L問控制,攻擊者可利用漏洞導致在使用MVE SMP UI時,AD用戶可以在不提供有效密碼的情況下執(zhí)行驗證的操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87597
3、SAMSUNG Mobile devices ProfileSharingAccount訪問控制錯誤漏洞
SAMSUNG Mobile devices是韓國三星(SAMSUNG)公司的一系列的三星移動設(shè)備,包括手機、平板等。SAMSUNG Mobile devices Android S(12) 13.0.6.15之前版本、Android R(11) 13.0.6.14存在訪問控制錯誤漏洞,該漏洞源于群組共享中ProfileSharingAccount存在訪問控制不當。攻擊者可利用該漏洞識別設(shè)備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87954
4、Rockwell Automation Factory Talk VantagePoint SQL注入漏洞
Rockwell Automation Factory Talk VantagePoint是美國羅克韋爾(Rockwell Automation)公司的一個高級工業(yè)應用生態(tài)系統(tǒng)。通過提供開箱即用的支持Web的內(nèi)容瀏覽和顯示創(chuàng)建來實現(xiàn)生產(chǎn)力。Rockwell Automation Factory Talk VantagePoint存在SQL注入漏洞,該漏洞源于未正確驗證用戶向后端數(shù)據(jù)庫檢索信息時輸入的SQL語句,攻擊者可利用漏洞可以在服務器上執(zhí)行遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87945
5、多款Adobe產(chǎn)品信息泄露漏洞(CNVD-2022-87161)
Adobe Acrobat是一套PDF文件編輯和轉(zhuǎn)換工具。Adobe Reader是一套PDF文檔閱讀軟件。多款Adobe產(chǎn)品存在信息泄露漏洞,遠程攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87161
二、境內(nèi)廠商產(chǎn)品漏洞
1、TOTOLINK NR1800X setLanguageCfg方法緩沖區(qū)溢出漏洞
TOTOLINK NR1800X是中國吉翁電子(TOTOLINK)公司的一款出色的5G NR室內(nèi)Wi-Fi和SIP CPE。旨在為家庭和辦公室提供快速便捷的NR固定數(shù)據(jù)服務部署。TOTOLINK NR1800X V9.1.0u.6279_B20210910版本存在緩沖區(qū)溢出漏洞,該漏洞源于setLanguageCfg方法的lang參數(shù)對于輸入的數(shù)據(jù)缺乏長度驗證,攻擊者可利用漏洞導致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87615
2、ZKTeco ZKBioSecurity訪問控制錯誤漏洞
ZKTeco ZKBioSecurity是中國ZKTeco公司的一個基于Web的一體式平臺。ZKTeco ZKBioSecurity V5000 3.0.5_r版本存在訪問控制錯誤漏洞。該漏洞源于應用程序存在不當?shù)脑L問控制,攻擊者可利用漏洞通過特制的HTTP請求任意創(chuàng)建管理員用戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87369
3、TOTOLINK NR1800X UploadCustomModule緩沖區(qū)溢出漏洞
TOTOLINK NR1800X是中國吉翁電子(TOTOLINK)公司的一款出色的5G NR室內(nèi)Wi-Fi和SIP CPE。旨在為家庭和辦公室提供快速便捷的NR固定數(shù)據(jù)服務部署。TOTOLINK NR1800X V9.1.0u.6279_B20210910版本存在緩沖區(qū)溢出漏洞,該漏洞源于UploadCustomModule函數(shù)中File參數(shù)對于輸入的數(shù)據(jù)缺乏長度驗證,攻擊者可利用漏洞導致代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87949
4、多款MediaTek芯片wlan本地權(quán)限提升漏洞
聯(lián)發(fā)科技股份有限公司(MediaTek Inc.)是全球第四大晶圓廠半導體公司,在移動終端、智能家居應用、無線連接技術(shù)及物聯(lián)網(wǎng)產(chǎn)品等市場位居領(lǐng)先地位,一年約有15億臺內(nèi)建MediaTek芯片的終端產(chǎn)品在全球各地上市。多款MediaTek芯片存在本地權(quán)限提升漏洞,該漏洞源于在wlan中缺少邊界檢查,導致可越界寫入,攻擊者可利用該漏洞進行本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87963
5、TOTOLINK NR1800X setOpModeCfg緩沖區(qū)溢出漏洞
TOTOLINK NR1800X是中國吉翁電子(TOTOLINK)公司的一款出色的5G NR室內(nèi)Wi-Fi和SIP CPE。旨在為家庭和辦公室提供快速便捷的NR固定數(shù)據(jù)服務部署。TOTOLINK NR1800X V9.1.0u.6279_B20210910版本存在緩沖區(qū)溢出漏洞,該漏洞源于文件/cgi-bin/cstecgi.cgi中的setOpModeCfg函數(shù)未對pppoeUser參數(shù)大小進行校驗,攻擊者可利用漏洞觸發(fā)堆棧溢出,遠程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87948
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
(編輯:CNVD)
來源:國家信息安全漏洞共享平臺