您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220801-20220807)
一、境外廠商產(chǎn)品漏洞
1、Pexip Infinity輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-54746)
Pexip Infinity(派視普視頻會(huì)議云協(xié)作平臺(tái))是挪威派世(Pexip)公司的一款視頻會(huì)議云協(xié)作平臺(tái)。該產(chǎn)品可提供高質(zhì)量安全的云會(huì)議功能。Pexip Infinity存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞觸發(fā)軟件中止,從而導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54746
2、Aruba ClearPass Policy Manager遠(yuǎn)程命令注入漏洞(CNVD-2022-55527)
Aruba ClearPass Policy Manager是美國(guó)Aruba公司的一個(gè)應(yīng)用系統(tǒng)提供無(wú)線(xiàn)網(wǎng)絡(luò)安全接入管理系統(tǒng)。Aruba ClearPass Policy Manager 6.10.4及之前版本、6.9.9及之前版本和6.8.9-HF2及之前版本的web管理界面存在遠(yuǎn)程命令注入漏洞,經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者利用該漏洞在底層主機(jī)上運(yùn)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55527
3、VMware vCenter Server信息泄露漏洞(CNVD-2022-55066)
VMware vCenter Server是美國(guó)威睿(Vmware)公司的一套服務(wù)器和虛擬化管理軟件。該軟件提供了一個(gè)用于管理VMware vSphere環(huán)境的集中式平臺(tái),可自動(dòng)實(shí)施和交付虛擬基礎(chǔ)架構(gòu)。VMware vCenter Server 存在信息泄露漏洞,具有非管理訪問(wèn)權(quán)限的攻擊者可利用該漏洞來(lái)獲取對(duì)敏感信息的訪問(wèn)權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55066
4、Google Android安全繞過(guò)漏洞(CNVD-2022-54478)
Google Android是美國(guó)谷歌(Google)公司的一套以Linux為基礎(chǔ)的開(kāi)源操作系統(tǒng)。Google Android存在安全漏洞,攻擊者可利用該漏洞繞過(guò)身份驗(yàn)證并獲得訪問(wèn)權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478
5、Cisco Nexus Dashboard權(quán)限提升漏洞
Cisco Nexus Dashboard是美國(guó)思科(Cisco)公司的一個(gè)單一控制臺(tái)。能夠簡(jiǎn)化數(shù)據(jù)中心網(wǎng)絡(luò)的運(yùn)營(yíng)和管理。Cisco Nexus Dashboard存在權(quán)限提升漏洞,該漏洞源于在受影響設(shè)備上執(zhí)行CLI命令期間輸入驗(yàn)證不足。攻擊者可利用該漏洞導(dǎo)致提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959
二、境內(nèi)廠商產(chǎn)品漏洞
1、華天動(dòng)力OA系統(tǒng)任意文件上傳漏洞
華天動(dòng)力OA系統(tǒng)是由大連華天軟件有限公司開(kāi)發(fā)的協(xié)同辦公軟件。華天動(dòng)力OA系統(tǒng)存在任意文件上傳漏洞,攻擊者可利用該漏洞上傳任意文件到服務(wù)器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54886
2、Totolink A3600R緩沖區(qū)溢出漏洞
TotoLink A3600R是中國(guó)臺(tái)灣吉翁電子(TotoLink)公司的一款6天線(xiàn)1200M無(wú)線(xiàn)路由器。Totolink A3600R V4.1.2cu.5182_B20201102版本存在緩沖區(qū)溢出漏洞,該漏洞源于在infostat.cgi的fread函數(shù)中包含堆棧器溢出,攻擊者可利用該漏洞通過(guò)參數(shù)CONTENT_LENGTH導(dǎo)致拒絕服務(wù) (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650
3、WAVLINK WN579 X3 messages.txt訪問(wèn)控制錯(cuò)誤漏洞
WAVLINK WN579 X3是中國(guó)睿因科技(WAVLINK)公司的一款無(wú)線(xiàn)路由器。WAVLINK WN579 X3 M79X3.V5030.191012版本存在訪問(wèn)控制錯(cuò)誤漏洞。該漏洞源于messages.txt文件未能設(shè)置合理的訪問(wèn)權(quán)限,攻擊者可利用該漏洞通過(guò)訪問(wèn)messages.txt獲取關(guān)鍵信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54900
4、TotoLink A3100R命令注入漏洞(CNVD-2022-54652)
TotoLink A3100R是中國(guó)臺(tái)灣吉翁電子(TotoLink)公司的一系列無(wú)線(xiàn)路由器。TotoLink A3100R V4.1.2cu.5050_B20200504版本和V4.1.2cu.5247_B20211129版本存在命令注入漏洞,該漏洞源于uci_cloudupdate_config函數(shù)中的magicid參數(shù)未能正確過(guò)濾構(gòu)造命令特殊字符、命令等,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54652
5、TotoLink A3100R操作系統(tǒng)命令注入漏洞
TotoLink A3100R是中國(guó)臺(tái)灣吉翁電子(TotoLink)公司的一系列無(wú)線(xiàn)路由器。TotoLink A3100R V5.9c.4577版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于輸入的字段未經(jīng)過(guò)正確的過(guò)濾,攻擊者可利用該漏洞導(dǎo)致命令注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55137
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶(hù)對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:CNVD漏洞平臺(tái)