您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220627-20220703)
一、境外廠商產(chǎn)品漏洞
1、Fortinet FortiWAN操作系統(tǒng)命令注入漏洞
Fortinet FortiWan是美國Fortinet公司的一個網(wǎng)絡(luò)設(shè)備。用于在不同網(wǎng)絡(luò)之間執(zhí)行負載平衡和容錯。Fortinet FortiWAN 4.5.9之前版本存在操作系統(tǒng)命令注入漏洞。攻擊者可利用該漏洞通過特制的HTTP請求在底層系統(tǒng)的shell上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47983
2、Apache Shiro身份認證繞過漏洞(CNVD-2022-48384)
Apache Shiro是美國阿帕奇(Apache)基金會的一套用于執(zhí)行認證、授權(quán)、加密和會話管理的Java安全框架。Apache Shiro存在身份認證繞過漏洞,該漏洞是由于當Apache Shiro中使用 RegexRequestMatcher方式進行權(quán)限配置,且正則表達式中攜帶"."時,未經(jīng)授權(quán)的遠程攻擊者可利用漏洞通過構(gòu)造惡意數(shù)據(jù)包繞過身份認證,導致配置的權(quán)限驗證失效。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48384
3、Fortinet多款產(chǎn)品操作系統(tǒng)命令注入漏洞
Fortinet FortiManager等都是美國飛塔(Fortinet)公司的產(chǎn)品。Fortinet FortiManager是一套集中化網(wǎng)絡(luò)安全管理平臺。Fortinet FortiAnalyzer是一套集中式網(wǎng)絡(luò)安全報告解決方案。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級、功能豐富的托管安全分析和管理支持工具,可作為虛擬機供MSP使用。Fortinet多款產(chǎn)品存在操作系統(tǒng)命令注入漏洞,本地經(jīng)過身份驗證的攻擊者可利用該漏洞通過特制的CLI命令參數(shù)以root身份執(zhí)行任意shell命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47985
4、Google Android權(quán)限提升漏洞(CNVD-2022-47680)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Google Android中存在權(quán)限提升漏洞,該漏洞源于缺少權(quán)限檢查,可能會出現(xiàn)被視為故障的CPU行為,攻擊者可利用該漏洞提升本地權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47680
5、WordPress JupiterX Core plugin訪問控制錯誤漏洞
WordPress和WordPress plugin都是WordPress基金會的產(chǎn)品。WordPress是一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務(wù)器上架設(shè)個人博客網(wǎng)站。WordPress plugin是一個應(yīng)用插件。WordPress JupiterX Core plugin存在訪問控制錯誤漏洞,攻擊者可利用該漏洞查看站點配置和登錄用戶、修改發(fā)布條件或執(zhí)行拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48383
二、境內(nèi)廠商產(chǎn)品漏洞
1、泛微OA存在SQL注入漏洞(CNVD-2022-43843)
泛微OA是一款移動辦公平臺。泛微OA存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43843
2、多款TotoLink產(chǎn)品命令注入漏洞(CNVD-2022-47972)
Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等產(chǎn)品都是中國Totolink公司的一個路由器。多款TotoLink產(chǎn)品存在命令注入漏洞,攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47972
3、南京中衛(wèi)信軟件科技股份有限公司體檢檔案管理系統(tǒng)存在SQL注入漏洞
南京中衛(wèi)信軟件科技股份有限公司是一家依靠自主研發(fā)和技術(shù)創(chuàng)新形成的核心技術(shù)開展生產(chǎn)經(jīng)營的國家高新技術(shù)企業(yè)。南京中衛(wèi)信軟件科技股份有限公司體檢檔案管理系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44332
4、多款TotoLink產(chǎn)品命令注入漏洞(CNVD-2022-47973)
Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等產(chǎn)品都是中國Totolink公司的一個路由器。多款TotoLink產(chǎn)品存在命令注入漏洞,攻擊者可利用該漏洞通過精心制作的請求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47973
5、多款TP-Link無線擴展器遠程命令執(zhí)行漏洞
TP-Link WA850RE等都是TP-Link旗下的無線擴展器。多款無線擴展器存在遠程命令執(zhí)行漏洞,攻擊者可利用漏洞未授權(quán)遠程命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48385
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD