您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220321-20220327)
一、境外廠商產(chǎn)品漏洞
1、WordPress Tradetracker-Store SQL注入漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPressTradetracker-Store存在SQL注入漏洞,該漏洞源于插件中xmlfeed的測試參數(shù)在插入到SQL語句之前未進行消毒、轉(zhuǎn)義或驗證,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22334
2、Netgear DGND3700v2命令執(zhí)行漏洞
Netgear是?家1996年成?,總部位于加州圣荷西的電腦?絡設備開發(fā)商。DGND3700v2是Netgear 旗下?款?線路由器。Netgear DGND3700v2命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22338
3、Nextcloud Talk輸入驗證錯誤漏洞
Nextcloud Talk是德國Nextcloud公司的一款自托管的本地音頻/視頻和聊天通信服務。Nextcloud Talk 12.1.2之前版本存在用戶重定向漏洞,該漏洞源于系統(tǒng)未對目標跳轉(zhuǎn)的未做合理處理,攻擊者可利用該漏洞將用戶重定向的惡意網(wǎng)站從事釣魚等攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21824
4、Samsung Wear Os訪問控制錯誤漏洞
Samsung Wear Os是韓國三星(Samsung)公司的一個Android操作系統(tǒng)的版本。專為智能手表等可穿戴式電腦設備所設計。Samsung Wear Os 3中的 StRetailModeReceiver 存在訪問控制錯誤漏洞,該漏洞源于不受信任的應用程序在沒有適當權(quán)限的情況下允許重置默認設置。攻擊者可利用此漏洞導致未經(jīng)授權(quán)的應用程序意外訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21821
5、Adobe After Effects緩沖區(qū)溢出漏洞(CNVD-2022-22096)
Adobe After Effects是美國奧多比(Adobe)公司的一套視覺效果和動態(tài)圖形制作軟件。Adobe After Effects存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-22096
二、境內(nèi)廠商產(chǎn)品漏洞
1、Nacos跨站腳本漏洞
Nacos是中國阿里巴巴(Alibaba)的一個動態(tài)服務發(fā)現(xiàn)、配置和服務管理平臺。該軟件支持基于 DNS 和基于 RPC 的服務發(fā)現(xiàn),可提供提供實時健康檢查,阻止服務向不健康的主機或服務實例發(fā)送請求等功能。Nacos 2.0.3版本中存在跨站腳本漏洞,該漏洞源于pageSize 和 pageNo 參數(shù)缺少對用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗過濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21816
2、Totolink X5000R和TotoLink A7000R命令注入漏洞(CNVD-2022-21813)
Totolink X5000R是中國Totolink公司的一個路由器。TotoLink A7000R是中國TotoLink公司的一款無線路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21813
3、Tenda AX1806緩沖區(qū)溢出漏洞
Tenda AX1806是中國騰達(Tenda)公司的一個WiFi6無線路由器。Tenda AX1806 v1.0.0.1存在安全漏洞,該漏洞源于函數(shù)saveParentControlInfo的堆溢出。攻擊者可利用該漏洞通過urls參數(shù)導致拒絕服務(DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21819
4、四創(chuàng)科技有限公司河長制綜合管理平臺存在SQL注入漏洞
四創(chuàng)科技有限公司是中國減災興利信息服務提供商。四創(chuàng)科技有限公司河長制綜合管理平臺存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16316
5、Totolink X5000R和TotoLink A7000R命令注入漏洞
Totolink X5000R是中國Totolink公司的一個路由器。TotoLink A7000R是中國TotoLink公司的一款無線路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21814
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
原文來源:CNVD漏洞平臺