您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220404-20220410)
一、境外廠商產(chǎn)品漏洞
1、Google Android權(quán)限提升漏洞(CNVD-2022-26766)
Google Android是美國(guó)谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在安全漏洞,該漏洞源于WindowManager中缺少權(quán)限檢查,攻擊者可利用該漏洞升級(jí)權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26766
2、Apache JamesServer遠(yuǎn)程命令執(zhí)行漏洞
Apache James Server是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一款采用純Java技術(shù)開(kāi)發(fā)的開(kāi)源SMTP和POP3郵件服務(wù)器及NNTP新聞服務(wù)器。Apache James Server存在遠(yuǎn)程命令執(zhí)行漏洞。攻擊者可利用該漏洞在瀏覽器上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27431
3、Google Android權(quán)限提升漏洞(CNVD-2022-26765)
Google Android是美國(guó)谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在安全漏洞,攻擊者可利用該漏洞升級(jí)權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26765
4、WordPress插件Wappointment跨站腳本漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress插件Wappointment存在跨站腳本漏洞。該漏洞源于程序未能正確過(guò)濾用戶(hù)提供的輸入。攻擊者可利用該漏洞執(zhí)行客戶(hù)端代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27430
5、F5 BIG-IQ訪問(wèn)控制錯(cuò)誤漏洞(CNVD-2022-26842)
F5 BIG-IQ是美國(guó)F5公司的一套基于軟件的云管理解決方案。該方案支持跨公共和私有云、傳統(tǒng)數(shù)據(jù)中心和混合環(huán)境部署應(yīng)用交付和網(wǎng)絡(luò)服務(wù)。F5 BIG-IQ system存在訪問(wèn)控制錯(cuò)誤漏洞,該漏洞源于BIG-IQ system中的訪問(wèn)限制不當(dāng)造成的。遠(yuǎn)程管理員可以訪問(wèn)由同一 BIG-IQ 系統(tǒng)管理的所有 BIG-IP 設(shè)備。攻擊者可利用該漏洞未經(jīng)授權(quán)訪問(wèn)其他受限功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26842
二、境內(nèi)廠商產(chǎn)品漏洞
1、溫州互引信息技術(shù)有限公司BossCMS存在命令執(zhí)行漏洞
BossCMS是溫州互引信息技術(shù)有限公司開(kāi)發(fā)的一款基于自主研發(fā)PHP框架MySQL架構(gòu)的內(nèi)容管理系統(tǒng)。溫州互引信息技術(shù)有限公司BossCMS存在命令執(zhí)行漏洞,攻擊這可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21722
2、Tenda AC9緩沖區(qū)溢出漏洞(CNVD-2022-26240)
Tenda AC9是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC9 v15.03.2.21_cn存在緩沖區(qū)溢出漏洞,該漏洞源于PowerSaveSet函數(shù)中的時(shí)間參數(shù)在內(nèi)存上執(zhí)行操作時(shí),未正確驗(yàn)證數(shù)據(jù)邊界,攻擊者可利用該漏洞導(dǎo)致堆緩沖區(qū)溢出并可能執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26240
3、武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在代碼執(zhí)行漏洞
達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)是達(dá)夢(mèng)公司推出的具有完全自主知識(shí)產(chǎn)權(quán)的數(shù)據(jù)庫(kù)管理系統(tǒng)。武漢達(dá)夢(mèng)數(shù)據(jù)庫(kù)股份有限公司達(dá)夢(mèng)數(shù)據(jù)庫(kù)管理系統(tǒng)存在代碼執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21700
4、上海海典軟件股份有限公司供應(yīng)商查詢(xún)系統(tǒng)存在SQL注入漏洞(CNVD-2022-21719)
供應(yīng)商查詢(xún)系統(tǒng)是基于VMI管理思想,將企業(yè)的經(jīng)營(yíng)業(yè)務(wù)數(shù)據(jù)與供應(yīng)商共享,即時(shí)掌控銷(xiāo)售資料和庫(kù)存量,作為市場(chǎng)需求預(yù)測(cè)和庫(kù)存補(bǔ)貨的解決方法。上海海典軟件股份有限公司供應(yīng)商查詢(xún)系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21719
5、溫州互引信息技術(shù)有限公司BossCMS存在命令執(zhí)行漏洞(CNVD-2022-20212)
BossCMS是溫州互引信息技術(shù)有限公司開(kāi)發(fā)的一款基于自主研發(fā)PHP框架MySQL架構(gòu)的內(nèi)容管理系統(tǒng)。溫州互引信息技術(shù)有限公司BossCMS存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20212
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
原文來(lái)源:CNVD漏洞平臺(tái)