您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220530-20220605)
一、境外廠商產(chǎn)品漏洞
1、微軟支持診斷工具遠(yuǎn)程代碼執(zhí)行漏洞
微軟支持診斷工具(MSDT,Microsoft Support Diagnostic Tool)是一種實(shí)用程序,用于排除故障并收集診斷數(shù)據(jù),供專業(yè)人員分析和解決問(wèn)題。Microsoft Office是由微軟公司開(kāi)發(fā)的一款常用辦公軟件。微軟支持診斷工具存在遠(yuǎn)程代碼執(zhí)行漏洞,未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞誘使用戶直接訪問(wèn)或者預(yù)覽惡意的Office文檔,通過(guò)惡意Office文檔中的遠(yuǎn)程模板功能,從服務(wù)器獲取包含惡意代碼的HTML文件并執(zhí)行,從而實(shí)現(xiàn)以當(dāng)前用戶權(quán)限下的任意代碼執(zhí)行攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42150
2、Adobe Photoshop越界寫(xiě)入漏洞(CNVD-2022-42164)
Adobe Photoshop是美國(guó)奧多比(Adobe)公司的一套圖片處理軟件。Adobe Photoshop存在越界寫(xiě)入漏洞。攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42164
3、Google Android權(quán)限提升漏洞(CNVD-2022-42143)
Google Android是美國(guó)谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Androidl存在權(quán)限提升漏洞,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42143
4、Atlassian Confluence Server和Data Center遠(yuǎn)程代碼執(zhí)行漏洞
Atlassian Confluence Server是澳大利亞Atlassian公司的一套具有企業(yè)知識(shí)管理功能,并支持用于構(gòu)建企業(yè)WiKi的協(xié)同軟件的服務(wù)器版本。Atlassian Confluence Data Center是Atlassian Confluence的數(shù)據(jù)中心版本。Atlassian Confluence Server和Data Center存在遠(yuǎn)程代碼執(zhí)行漏洞,未經(jīng)身份驗(yàn)證的攻擊者利用該漏洞通過(guò)命令注入可在目標(biāo)服務(wù)器上執(zhí)行任意代碼,從而控制目標(biāo)服務(wù)器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43094
5、Dell EMC NetWorker信息泄露漏洞(CNVD-2022-42743)
Dell EMC NetWorker是美國(guó)戴爾(DELL)公司的一套統(tǒng)一備份和恢復(fù)軟件。該軟件提供備份與恢復(fù)、消除重復(fù)數(shù)據(jù)、備份報(bào)告等功能。Dell NetWorker存在信息泄露漏洞。攻擊者可利用該漏洞訪問(wèn)未經(jīng)授權(quán)的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42743
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC9緩沖區(qū)溢出漏洞
Tenda AC9是中國(guó)騰達(dá)(Tenda)公司的一款無(wú)線路由器。Tenda AC9存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過(guò)url參數(shù)執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42149
2、TOTOLINK A3100R setParentalRules函數(shù)緩沖區(qū)溢出漏洞
TOTOLINK A3100R是中國(guó)吉翁電子(TOTOLINK)公司的一系列無(wú)線路由器。TOTOLINK A3100R setParentalRules函數(shù)存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過(guò)精心設(shè)計(jì)的POST請(qǐng)求導(dǎo)致拒絕服務(wù)(DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42732
3、D-Link DIR882命令注入漏洞
D-Link DIR882是中國(guó)友訊(D-Link)公司的一款雙頻無(wú)線路由器。D-Link DIR882存在命令注入漏洞,攻擊者可利用該漏洞通過(guò)精心設(shè)計(jì)的負(fù)載將權(quán)限提升到root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42156
4、2345好壓存在內(nèi)存破壞漏洞(CNVD-2022-38914)
2345好壓是一款免費(fèi)解壓縮軟件。2345好壓存在內(nèi)存破壞漏洞,攻擊者可利用該漏洞造成本地軟件崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-38914
5、Tenda AX12緩沖區(qū)溢出漏洞(CNVD-2022-42152)
Tenda AX12是中國(guó)騰達(dá)(Tenda)公司的一款雙頻千兆Wifi 6無(wú)線路由器。Tenda AX12存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導(dǎo)致堆棧溢出。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-42152
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
文章來(lái)源:CNVD漏洞平臺(tái)