您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220620-20220626)
一、境外廠商產(chǎn)品漏洞
1、Google Android緩沖區(qū)溢出漏洞(CNVD-2022-46294)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android存在緩沖區(qū)溢出漏洞,該漏洞源于在藍(lán)牙中,缺少邊界檢查,攻擊者可利用該漏洞導(dǎo)致本地權(quán)限升級。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294
2、IBM Security Guardium弱加密算法漏洞(CNVD-2022-46309)
IBM Security Guardium是美國IBM公司的一套提供數(shù)據(jù)保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構(gòu)建等功能。IBM Security Guardium存在弱加密算法漏洞,該漏洞源于IBM Security Guardium使用的加密算法比預(yù)期的要弱。攻擊者可利用該漏洞解密敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46309
3、Microsoft DFSCoerce域控提權(quán)漏洞
Windows Server是微軟在2003年4月24日推出的Windows的服務(wù)器操作系統(tǒng),其核心是Microsoft Windows Server System(WSS)。Microsoft DFSCoerce存在域控提權(quán)漏洞,攻擊者可利用漏洞通過向AD CS請求域控主機的證書,借助Kerberos的證書認(rèn)證擴展實現(xiàn)域內(nèi)提權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46482
4、Cisco Iox路徑遍歷漏洞
Cisco Iox是美國思科(Cisco)公司的一個結(jié)合了Cisco IOS和Linux OS用于安全網(wǎng)絡(luò)連接以及開發(fā)IOT應(yīng)用的安全開發(fā)環(huán)境。Cisco Iox存在路徑遍歷漏洞,攻擊者可利用該漏洞通過使用API發(fā)送精心編制的命令請求來讀取位于基礎(chǔ)主機文件系統(tǒng)上的任何文件的內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961
5、WordPress Advanced Contact form 7 DB跨站腳本漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress Advanced Contact form 7 DB 1.8.7及其之前版本存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意的JavaScript程序,竊取其他用戶cookie等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46769
二、境內(nèi)廠商產(chǎn)品漏洞
1、四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞(CNVD-2022-41797)
四創(chuàng)科技有限公司是一家致力于中國防災(zāi)減災(zāi)事業(yè),為政府提供防災(zāi)減災(zāi)信息化全面解決方案的公司。四創(chuàng)科技有限公司建站系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41797
2、ZTE ZXMP M721權(quán)限和訪問控制漏洞
ZTE ZXMP M721是中國中興通訊(ZTE)公司的一款城域邊緣OTN(光傳送網(wǎng))設(shè)備。ZTE ZXMP M721存在權(quán)限和訪問控制漏洞,該漏洞源于sftp查看的文件夾權(quán)限為666,與實際權(quán)限不一致,攻擊者可利用該漏洞獲得更高的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47340
3、Xiaomi Router AX6000信息泄露漏洞
Xiaomi Router AX6000是中國小米(Xiaomi)公司的一款路由器。Xiaomi Router AX6000 1.0.56之前存在信息泄露漏洞,該漏洞源于路由配置錯誤,攻擊者可利用該漏洞下載小米Router AX6000中的部分文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47338
4、ZTE ZXCDN跨站腳本漏洞
ZTE ZXCDN是中國中興(ZTE)公司的一款統(tǒng)一網(wǎng)絡(luò)管理平臺。ZTE ZXCDN存在跨站腳本漏洞。該漏洞源于程序缺少對用戶提供的數(shù)據(jù)和輸出的數(shù)據(jù)校驗過濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47339
5、Xiaomi Router AX3600命令注入漏洞
Xiaomi router AX3600是中國Xiaomi公司的一款路由器。Xiaomi Router AX3600 1.1.15之前存在命令注入漏洞,該漏洞源于缺乏對傳入數(shù)據(jù)的檢查,攻擊者可利用漏洞執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47337
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD