您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221226-20230101)
一、境外廠商產(chǎn)品漏洞
1、IBM Cognos Analytics服務(wù)器端請(qǐng)求偽造漏洞
IBM Cognos Analytics是美國(guó)IBM公司的一套商業(yè)智能軟件。該軟件包括報(bào)表、儀表板和記分卡等,并可通過分析關(guān)鍵因素與關(guān)鍵人等內(nèi)容,協(xié)助企業(yè)調(diào)整決策。IBM Cognos Analytics 11.1.7、11.2.0和11.2.1版本存在服務(wù)器端請(qǐng)求偽造漏洞。攻擊者可利用該漏洞向內(nèi)部網(wǎng)絡(luò)或本地文件系統(tǒng)發(fā)出任意請(qǐng)求。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91133
2、IBM Cognos Analytics敏感信息泄露漏洞(CNVD-2022-91131)
IBM Cognos Analytics是美國(guó)IBM公司的一套商業(yè)智能軟件。該軟件包括報(bào)表、儀表板和記分卡等,并可通過分析關(guān)鍵因素與關(guān)鍵人等內(nèi)容,協(xié)助企業(yè)調(diào)整決策。IBM Cognos Analytics 11.1.7、11.2.0和11.2.1版本存在敏感信息泄露漏洞。攻擊者可利用該漏洞通過向日志文件傳遞API密鑰導(dǎo)致敏感信息泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91131
3、Adobe Experience Manager跨站腳本漏洞(CNVD-2022-91149)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞在瀏覽器上下文中執(zhí)行惡意JavaScript。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91149
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2022-91148)
Adobe Experience Manager(AEM)是美國(guó)奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營(yíng)銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者可利用該漏洞在瀏覽器上下文中執(zhí)行惡意JavaScript。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91148
5、AeroCMS SQL注入漏洞(CNVD-2023-00001)
AeroCMS是美國(guó)AeroCMS公司的一個(gè)內(nèi)容管理系統(tǒng)。AeroCMS v0.0.1版本存在SQL注入漏洞,該漏洞源于CMS系統(tǒng)的approve參數(shù)易受SQL注入攻擊。攻擊者可利用該漏洞通過把SQL命令插入到Web表單提交或輸入域名或頁面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-00001
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda i22緩沖區(qū)溢出漏洞
Tenda i22是中國(guó)騰達(dá)(Tenda)公司的一款無線接入點(diǎn)。Tenda i22 /goform/setcfm存在緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可利用該漏洞提交特殊的請(qǐng)求,可以在系統(tǒng)上下文執(zhí)行任意代碼或者使應(yīng)用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-00010
2、啄木鳥家庭維修APP存在邏輯缺陷漏洞
啄木鳥家庭維修APP是一款正規(guī)專業(yè)的上門到家維修服務(wù)軟件。啄木鳥家庭維修APP存在邏輯缺陷漏洞,攻擊者可利用該漏洞造成服務(wù)端短信資源耗盡,對(duì)任意手機(jī)號(hào)進(jìn)行短信炸彈攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-89490
3、浙江大華技術(shù)股份有限公司智能物聯(lián)綜合管理平臺(tái)存在弱口令漏洞(CNVD-2022-87084)
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營(yíng)服務(wù)商。浙江大華技術(shù)股份有限公司智能物聯(lián)綜合管理平臺(tái)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87084
4、用友網(wǎng)絡(luò)科技股份有限公司U8+渠道管理存在SQL注入漏洞
用友創(chuàng)立于1988年,是全球領(lǐng)先的企業(yè)云服務(wù)與軟件提供商。用友網(wǎng)絡(luò)科技股份有限公司U8+渠道管理存在SQL注入漏洞,攻擊者可利用漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88373
5、珠海國(guó)津軟件科技有限公司ITSM管理系統(tǒng)存在信息泄露漏洞
珠海國(guó)津軟件科技有限公司成立于2009年,專注ESM領(lǐng)域,ITSM是其中重要的組成部分。珠海國(guó)津軟件科技有限公司ITSM管理系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88361
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
(編輯:CNVD)
來源:國(guó)家信息安全漏洞共享平臺(tái)