您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220509-20220515)
一、境外廠商產(chǎn)品漏洞
1、Siemens JT2Go和Teamcenter Visualization雙重釋放漏洞(CNVD-2022-36381)
Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個(gè)可為設(shè)計(jì)2D、3D場(chǎng)景提供團(tuán)隊(duì)協(xié)作功能的軟件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381
2、Dell Wyse Management Suite文件上傳漏洞
Dell Wyse Management Suite是美國(guó)戴爾(DELL)公司的一套用于管理和優(yōu)化Wyse端點(diǎn)的、可擴(kuò)展的解決方案。該產(chǎn)品包括Wyse端點(diǎn)集中管理、資產(chǎn)追蹤和自動(dòng)設(shè)備發(fā)現(xiàn)等功能。Dell Wyse Management Suite存在安全漏洞,該漏洞源于不受限制的文件上傳。具有管理員權(quán)限的攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36037
3、Siemens JT2Go和Teamcenter Visualization文件解析漏洞
Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個(gè)可為設(shè)計(jì)2D、3D場(chǎng)景提供團(tuán)隊(duì)協(xié)作功能的軟件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞,攻擊者可利用該漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380
4、IBM MQ Appliance拒絕服務(wù)漏洞(CNVD-2022-36974)
IBM MQ Appliance是美國(guó)IBM公司的一款用于快速部署企業(yè)級(jí)消息中間件的一體機(jī)設(shè)備。IBM MQ Appliance存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞通過(guò)應(yīng)用程序登錄組件進(jìn)行拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974
5、Dell Vnx2 Oe For File遠(yuǎn)程代碼執(zhí)行漏洞
Dell Vnx2 Oe For File是美國(guó)戴爾(Dell)公司的一個(gè)操作環(huán)境。Dell Vnx2 Oe For File存在安全漏洞,攻擊者可利用漏洞在系統(tǒng)上執(zhí)行命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36042
二、境內(nèi)廠商產(chǎn)品漏洞
1、Delta Electronics DIAEnergie ReadRegIND SQL注入漏洞(CNVD-2022-36021)
Delta Electronics DIAEnergie是一個(gè)工業(yè)能源管理系統(tǒng),用于實(shí)時(shí)監(jiān)控和分析能源消耗、計(jì)算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie存在SQL注入漏洞,該漏洞源于ReadRegIND缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證。攻擊者可利用該漏洞注入任意 SQL 查詢、檢索和修改數(shù)據(jù)庫(kù)內(nèi)容以及執(zhí)行系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36021
2、長(zhǎng)沙德尚網(wǎng)絡(luò)科技有限公司DSCMS存在任意文件刪除漏洞
Dscms是一套基于Thinkphp3.1+Bootstrap的開(kāi)源項(xiàng)目。長(zhǎng)沙德尚網(wǎng)絡(luò)科技有限公司DSCMS存在任意文件刪除漏洞,攻擊者可利用該漏洞刪除任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-31128
3、EmpireCMS SQL注入漏洞
EmpireCMS(帝國(guó)內(nèi)容管理系統(tǒng))是一套開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。EmpireCMS 7.5版本存在SQL注入漏洞,該漏洞源于在AdClass.php中缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36984
4、WUZHI CMS SQL注入漏洞(CNVD-2022-36985)
Wuzhi WUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的開(kāi)源內(nèi)容管理系統(tǒng)(CMS)。WUZHI CMS 4.1.0版本存在SQL注入漏洞,該漏洞源于/coreframe/app/member/admin/group.php的groupid參數(shù)缺少對(duì)外部輸入SQL語(yǔ)句的驗(yàn)證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫(kù)敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36985
5、Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-36031)
Delta Electronics DIAEnergie是一個(gè)工業(yè)能源管理系統(tǒng),用于實(shí)時(shí)監(jiān)控和分析能源消耗、計(jì)算能源消耗和負(fù)載特性、優(yōu)化設(shè)備性能、改進(jìn)生產(chǎn)流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie 1.8.02.004之前版本存在SQL注入漏洞,該漏洞源于 HandlerChart.ashx中存在盲SQ 注入。攻擊者可利用該漏洞注入任意SQL查詢、檢索和修改數(shù)據(jù)庫(kù)內(nèi)容以及執(zhí)行系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031
說(shuō)明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源: CNVD漏洞平臺(tái)