您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220523-20220529)
一、境外廠商產(chǎn)品漏洞
1、TRENDnet TI-PG1284i空指針取消引用漏洞
TRENDnet TI-PG Series是美國趨勢網(wǎng)絡(luò)(TRENDnet)公司的一系列交換機(jī)。TRENDnet TI-PG1284i2.0.2.S0之前版本存在安全漏洞,攻擊者可利用該漏洞通過向設(shè)備發(fā)送精心制作的lldp數(shù)據(jù)包而使進(jìn)程崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-40315
2、Apache DolphinScheduler SQL注入漏洞
Apache DolphinScheduler是美國阿帕奇(Apache)基金會開發(fā)的一個(gè)分布式去中心化,易擴(kuò)展的可視化DAG工作流任務(wù)調(diào)度平臺。致力于解決數(shù)據(jù)處理流程中錯(cuò)綜復(fù)雜的依賴關(guān)系,使調(diào)度系統(tǒng)在數(shù)據(jù)處理流程中開箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻擊者可利用該漏洞獲取和修改底層數(shù)據(jù)庫中的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641
3、多款Cisco產(chǎn)品緩沖區(qū)溢出漏洞(CNVD-2022-32613)
Cisco RV110W Wireless-N VPN Firewall等都是美國思科(Cisco)公司的一款企業(yè)級路由器。Cisco RV110W Wireless-NVPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router中基于Web的管理界面存在緩沖區(qū)溢出漏洞,該漏洞源于程序未能正確地驗(yàn)證用戶提交的數(shù)據(jù)。遠(yuǎn)程攻擊者可通過發(fā)送惡意的HTTP請求利用該漏洞在底層操作系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-32613
4、SAP SQL Anywhere拒絕服務(wù)漏洞
SAP SQL Anywhere是德國思愛普(SAP)公司的一套SAP專用的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。SAP SQL Anywhere存在拒絕服務(wù)漏洞,經(jīng)過身份驗(yàn)證的攻擊者可利用該漏洞使服務(wù)器崩潰,從而阻止合法用戶訪問SQL Anywhere數(shù)據(jù)庫服務(wù)器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41303
5、Apache DolphinScheduler SQL注入漏洞
Apache DolphinScheduler是美國阿帕奇(Apache)基金會開發(fā)的一個(gè)分布式去中心化,易擴(kuò)展的可視化DAG工作流任務(wù)調(diào)度平臺。致力于解決數(shù)據(jù)處理流程中錯(cuò)綜復(fù)雜的依賴關(guān)系,使調(diào)度系統(tǒng)在數(shù)據(jù)處理流程中開箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻擊者可利用該漏洞獲取和修改底層數(shù)據(jù)庫中的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641
二、境內(nèi)廠商產(chǎn)品漏洞
1、Delta Electronics CNCSoft堆棧緩沖區(qū)溢出漏洞
DeltaElectronics CNCSoft是中國Delta Electronics公司的一款數(shù)控機(jī)床仿真系統(tǒng)軟件。Delta Electronics CNCSoft存在安全漏洞,該漏洞是由于在處理特定項(xiàng)目文件時(shí),受影響的產(chǎn)品未正確清理輸入,攻擊者可利用漏洞導(dǎo)堆棧緩沖區(qū)溢出情況。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-40317
2、D-Link DIR-825 G1訪問控制錯(cuò)誤漏洞
DIR-825 G1是中國臺灣D-Link的一款路由器。D-Link DIR-825 G1 固件版本存在訪問控制錯(cuò)誤漏洞,該漏洞源于身份驗(yàn)證不足。攻擊者可利用該漏洞通過參數(shù)“autoupgrade.asp”繞過身份驗(yàn)證,并在未經(jīng)授權(quán)的情況下執(zhí)行下載配置文件和更新固件等功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41784
3、Asus DSL-N14U-B1拒絕服務(wù)漏洞
ASUS DSL-N14U-B1是中國華碩(ASUS)公司的一款路由器設(shè)備。Asus DSL-N14U-B11.1.2.3_805版本存在拒絕服務(wù)漏洞。該漏洞源于未對輸入的錯(cuò)誤消息做正確的處理,遠(yuǎn)程攻擊者可利用該漏洞使用nmap之類的工具執(zhí)行TCP SYN掃描造成拒絕服務(wù) (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41786
4、HUAWEI HarmonyOS授權(quán)問題漏洞(CNVD-2022-41788)
HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。HUAWEI HarmonyOS內(nèi)核存在授權(quán)問題漏洞,該漏洞源于Property模塊權(quán)限控制不當(dāng)。攻擊者可利用該漏洞獲取設(shè)備唯一標(biāo)識。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41788
5、HUAWEI HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-41787)
HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。HUAWEI HarmonyOS AI業(yè)務(wù)組件存在拒絕服務(wù)漏洞,該漏洞源于hiaiserver未對模型中的權(quán)重做嚴(yán)格的合法性校驗(yàn),攻擊者利用該漏洞將會導(dǎo)致AI服務(wù)出現(xiàn)異常,AI業(yè)務(wù)受到影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41787
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺