您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220314-20220320)
一、境外廠商產(chǎn)品漏洞
1、Liferay Portal和Liferay DXP跨站腳本漏洞(CNVD-2022-19496)
Liferay Portal和Liferay DXP都是美國(guó)Liferay公司的產(chǎn)品。Liferay Portal是一套基于J2EE的門戶解決方案。該方案使用了EJB以及JMS等技術(shù),并可作為Web發(fā)布和共享工作區(qū)、企業(yè)協(xié)作平臺(tái)、社交網(wǎng)絡(luò)等。Liferay DXP是一套數(shù)字化體驗(yàn)協(xié)作平臺(tái)。Liferay Portal和Liferay DXP存在跨站腳本漏洞,遠(yuǎn)程攻擊者可利用該漏洞通過(guò)Groovy腳本的輸出注入任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19496
2、Fortinet FortiProxy SSL VPN跨站請(qǐng)求偽造漏洞
Fortinet FortiProxy SSL VPN是美國(guó)Fortinet公司的一個(gè)應(yīng)用軟件。提供了一個(gè)入侵檢測(cè)功能。Fortinet FortiProxy SSLVPN存在跨站請(qǐng)求偽造漏洞,未經(jīng)身份驗(yàn)證的攻擊者可利用該漏洞進(jìn)行跨站點(diǎn)請(qǐng)求偽造(CSRF)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19075
3、WordPress LoginPress Plugin跨站腳本漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress LoginPressPlugin 1.5.12之前版本存在跨站腳本漏洞,該漏洞源于插件在將重定向頁(yè)面參數(shù)輸出回屬性之前沒(méi)有進(jìn)行轉(zhuǎn)義,攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19798
4、WordPress Core Tweaks WP Setup plugin跨站請(qǐng)求偽造漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress Core Tweaks WPSetup plugin 4.1及之前按版本存在跨站請(qǐng)求偽造漏洞,該漏洞源于沒(méi)有適當(dāng)?shù)?CSRF 保護(hù),攻擊者可利用此漏洞任意更改管理員電子郵件或創(chuàng)建另一個(gè)管理員帳戶并通過(guò) CSRF 攻擊接管網(wǎng)站。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-19801
5、Dell BIOS輸入驗(yàn)證漏洞
Dell是一家生產(chǎn)、設(shè)計(jì)、銷售家用以及辦公室電腦的公司,同時(shí)還生產(chǎn)與銷售服務(wù)器、數(shù)據(jù)儲(chǔ)存設(shè)備、網(wǎng)絡(luò)設(shè)備等產(chǎn)品。Dell BIOS包含錯(cuò)誤的輸入驗(yàn)證漏洞。本地經(jīng)過(guò)身份驗(yàn)證的攻擊者可能會(huì)利用該漏洞通過(guò)使用SMI在SMM期間執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20796
二、境內(nèi)廠商產(chǎn)品漏洞
1、Huawei P30 JavaScript注入漏洞
Huawei P30是中國(guó)華為(Huawei)公司的一款智能手機(jī)。Huawei P30存在JavaScript注入漏洞,攻擊者可利用漏洞通過(guò)發(fā)送惡意應(yīng)用程序請(qǐng)求來(lái)啟動(dòng)JavaScript注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20327
2、Huawei HarmonyOS堆緩沖區(qū)溢出漏洞
Huawei HarmonyOS是中國(guó)華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在堆緩沖區(qū)溢出漏洞,該漏洞源于產(chǎn)品的某個(gè)組件未能正確判斷內(nèi)存邊界。攻擊者可利用漏洞會(huì)重寫(xiě)相鄰對(duì)象的內(nèi)存。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20314
3、江西銘軟科技有限公司MCMS存在未明漏洞
Mcms是江西銘軟科技有限公司的一個(gè)完整開(kāi)源的 J2ee系統(tǒng)。Mcms v5.1版本存在SQL注入漏洞,攻擊者可利用該漏洞通過(guò)/ms/cms/content/list.do執(zhí)行sql注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20178
4、四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測(cè)預(yù)警系統(tǒng)存在邏輯缺陷漏洞(CNVD-2022-16618)
四創(chuàng)科技有限公司是一家致力于中國(guó)防災(zāi)減災(zāi)事業(yè)的技術(shù)型企業(yè)。四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測(cè)預(yù)警系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16618
5、Huawei eCNS280_TD和ESE620X vESS授權(quán)問(wèn)題漏洞
Huawei eCNS280_TD是中國(guó)華為(Huawei)公司的無(wú)線寬帶集群系統(tǒng)的核心網(wǎng)設(shè)備。Huawei ESE620X vESS是中國(guó)華為(Huawei)公司的一個(gè)虛擬企業(yè)服務(wù)控制器。Huawei eCNS280_TD和ESE620X vESS存在授權(quán)問(wèn)題漏洞,該漏洞源于文件訪問(wèn)未被正確授權(quán)。攻擊者可利用漏洞繞過(guò)目標(biāo)系統(tǒng)上的授權(quán)過(guò)程。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20324
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)