您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20220425-20220508)
一、境外廠商產品漏洞
1、Oracle MySQL Server輸入驗證錯誤漏洞(CNVD-2022-33993)
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數(shù)據(jù)庫管理系統(tǒng)。MySQL Server是其中的一個數(shù)據(jù)庫服務器組件。Oracle MySQL Server(組件:Server: DDL)8.0.28及之前版本存在輸入驗證錯誤漏洞。未經身份驗證的攻擊者可利用該漏洞通過多種協(xié)議進行網(wǎng)絡訪問,從而破壞MySQL Server,導致MySQL Server掛起或頻繁崩潰(拒絕服務)及對MySQL Server某些可訪問數(shù)據(jù)進行未授權更新、插入或刪除。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-33993
2、Accusoft ImageGear堆緩沖區(qū)溢出漏洞(CNVD-2022-35416)
Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在安全漏洞,攻擊者可利用該漏洞將精心編制的數(shù)據(jù)傳遞給應用程序,觸發(fā)堆緩沖區(qū)溢出,并在目標系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-35416
3、Accusoft ImageGear堆緩沖區(qū)溢出漏洞(CNVD-2022-35415)
Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在安全漏洞,攻擊者可利用該漏洞將精心編制的數(shù)據(jù)傳遞給應用程序,觸發(fā)堆緩沖區(qū)溢出,并在目標系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-35415
4、SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞(CNVD-2022-33125)
SAP 3D Visual Enterprise Viewer是德國思愛普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業(yè)標準的桌面應用中發(fā)布2D、3D場景,并支持以獨立可執(zhí)行程序和ActiveX空間單獨安裝。SAP 3D Visual Enterprise Viewer存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞通過精心處理的Universal 3D(.u3d、3difr.x3d),導致應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-33125
5、Accusoft ImageGear輸入驗證錯誤漏洞
Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在輸入驗證錯誤漏洞,該漏洞源于在處理JPEG-JFIF掃描頭解析器功能中不受信任的輸入時存在邊界錯誤。攻擊者可利用該漏洞觸發(fā)目標系統(tǒng)上的越界寫入和執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-35418
二、境內廠商產品漏洞
1、ASUS WebStorage Android安全繞過漏洞
ASUSWebStorage是中國華碩(ASUS)公司的一種在線存儲服務。ASUS WebStorage Android存在安全漏洞,攻擊者可利用此漏洞登錄到普通用戶帳戶,以訪問、修改或刪除用戶帳戶信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-32820
2、用友U8-OA企業(yè)版存在SQL注入漏洞(CNVD-2022-31182)
用友網(wǎng)絡科技股份有限公司是一家企業(yè)云服務與軟件提供商。用友U8-OA企業(yè)版存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-31182
3、Tenda M3命令注入漏洞
Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。Tenda M3存在命令注入漏洞,該漏洞源于組件/goform/delAd未能正確過濾構造命令特殊字符、命令等,攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-33123
4、Tenda M3命令注入漏洞(CNVD-2022-33121)
Tenda M3是中國騰達(Tenda)公司的一款門禁控制器。Tenda M3存在命令注入漏洞,該漏洞源于組件/goform/setAdInfoDetail未能正確過濾構造命令特殊字符、命令等,攻擊者可利用該漏洞導致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-33121
5、ASUS RT-AX88U代碼執(zhí)行漏洞
ASUS RT-AX88U是中國華碩(ASUS)公司的一款無線路由器。ASUS RT-AX88U存在安全漏洞,攻擊者可利用此漏洞在設備上執(zhí)行任意代碼或造成拒絕服務情況。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-32819
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源: CNVD漏洞平臺