您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產(chǎn)品安全漏洞
(20220418-20220424)
一、境外廠商產(chǎn)品漏洞
1、Zoho ManageEngine ADAudit Plus遠程代碼執(zhí)行漏洞
Zoho ManageEngine Adaudit Plus是美國Zoho Corporation公司的用于簡化審計、證明合規(guī)性和檢測威脅。Zoho ManageEngine ADAudit Plus7060之前版本存在遠程代碼執(zhí)行漏洞,未經(jīng)身份驗證的攻擊者可利用該漏洞進行遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-29866
2、Bentley MicroStation CONNECT越界讀取漏洞
Bentley MicroStation CONNECT是美國Bentley Systems公司的一個用于二維和三維設計和繪圖的Cad軟件平臺。Bentley MicroStation CONNECT 10.16.0.80在解析DGN文件時存在越界讀取漏洞,遠程攻擊者可利用該漏洞導致讀取超出分配的緩沖區(qū)的末尾,在當前進程的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30764
3、WordPress Simple Ajax Chat plugin跨站腳本漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPress Simple Ajax Chat plugin 20220115版本及之前版本存在跨站腳本漏洞,該漏洞源于程序缺少對用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗過濾,攻擊者可利用該漏洞注入JavaScript并執(zhí)行存儲的XSS攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30453
4、Snapt Aria命令注入漏洞
Snapt Aria是美國Snapt公司的一個面向企業(yè)的ADC解決方案,提供負載均衡器、Web加速器、Web應用防火墻 (WAF)、全局服務器負載均衡器 (GSLB) 等。Snapt Aria v12.8的snaptPowered2組件存在命令注入漏洞,經(jīng)過身份驗證的攻擊者可利用該漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30445
5、radare2資源管理錯誤漏洞(CNVD-2022-30437)
radare2是一套用于處理二進制文件的庫和工具。radare2存在資源管理錯誤漏洞,攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30437
二、境內廠商產(chǎn)品漏洞
1、四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞(CNVD-2022-25679)
四創(chuàng)科技有限公司是一家致力于中國防災減災事業(yè),為政府提供防災減災信息化全面解決方案的公司。四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25679
2、TOTOLINK N600R路由器存在命令執(zhí)行漏洞
TOTOLINK N600R是一款無線路由器。TOTOLINK N600R路由器存在命令執(zhí)行漏洞,攻擊者可利用該漏洞實現(xiàn)任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25677
3、BossCMS存在任意文件上傳漏洞(CNVD-2022-25692)
BossCMS是一款安全、穩(wěn)定、好用、永久免費開源、自主研發(fā)PHP框架的企業(yè)建站系統(tǒng)。BossCMS存在任意文件上傳漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25692
4、zbzcms任意文件上傳漏洞
zbzcms(站幫主CMS)是中國站幫主CMS(zbzcms)公司的一個內容管理網(wǎng)站。zbzcms 1.0版本存在任意文件上傳漏洞,攻擊者可利用該漏洞通過特制的PHP文件執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30435
5、Maccms任意文件刪除漏洞
Maccms是一套基于PHP的影視內容管理系統(tǒng)(CMS)。Maccms在10版本中存在任意文件刪除漏洞,該漏洞源于網(wǎng)絡系統(tǒng)或產(chǎn)品未對輸入的數(shù)據(jù)進行正確的驗證,攻擊者可利用該漏洞刪除服務上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30797
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺