您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220905-20220911)
一、境外廠商產(chǎn)品漏洞
1、Atlassian Fisheye和Crucible服務(wù)器端請求偽造漏洞
Atlassian Fisheye是一套源代碼深度查看軟件。Crucible是一套代碼審查工具。Atlassian Fisheye和Crucible存在服務(wù)器端請求偽造漏洞,該漏洞是由于DefaultRepositoryAdminService中的文件和網(wǎng)絡(luò)資源枚舉引起的。經(jīng)過身份驗證的遠(yuǎn)程攻擊者可利用此漏洞獲取敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61833
2、Atlassian Fisheye和Crucible目錄遍歷漏洞
Atlassian Fisheye是一套源代碼深度查看軟件。Crucible是一套代碼審查工具。Atlassian Fisheye和Crucible存在安全漏洞,攻擊者可利用該漏洞查看系統(tǒng)上的任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61829
3、Atlassian Fisheye和Crucible信息泄露漏洞
Atlassian Fisheye是一套源代碼深度查看軟件。Atlassian Crucible是一套代碼審查工具。Atlassian Fisheye and Crucible存在信息泄露漏洞,該漏洞是由于/rest-service-fecru/server-v1資源中的缺陷引起的。攻擊者可利用此漏洞從安裝目錄獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61831
4、Google Android信息泄露漏洞(CNVD-2022-62203)
Google Android是美國谷歌(Google)公司的一套以Linux為基礎(chǔ)的開源操作系統(tǒng)。Bootloader是其中的一個啟動加載程序。Google Android存在信息泄露漏洞。該漏洞源于邊界檢查不正確,可能會出現(xiàn)越界讀取。攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-62203
5、Atlassian Fisheye和Crucible暴力破解漏洞
Atlassian Fisheye是一套源代碼深度查看軟件。Atlassian Crucible是一套代碼審查工具。Atlassian Fisheye和Crucible存在暴力破解漏洞,該漏洞是由于未能檢查用戶是否超出其最大失敗登錄限制。攻擊者可利用此漏洞繞過身份驗證并訪問系統(tǒng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61832
二、境內(nèi)廠商產(chǎn)品漏洞
1、安博通應(yīng)用網(wǎng)關(guān)存在未授權(quán)訪問漏洞
北京安博通科技股份有限公司是可視化網(wǎng)絡(luò)安全專用核心系統(tǒng)產(chǎn)品與安全服務(wù)提供商。安博通應(yīng)用網(wǎng)關(guān)存在未授權(quán)訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57042
2、綠盟NF防火墻存在信息泄露漏洞
綠盟NF防火墻是綠盟科技在最新一代64位多核硬件平臺基礎(chǔ)上,結(jié)合應(yīng)用層安全防護(hù)理念和高速數(shù)據(jù)包并發(fā)處理技術(shù),構(gòu)筑而成的企業(yè)級下一代邊界安全產(chǎn)品。綠盟NF防火墻存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57039
3、北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在信息泄露漏洞(CNVD-2022-59144)
北京網(wǎng)御星云信息技術(shù)公司是國內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售。北京網(wǎng)御星云信息技術(shù)有限公司網(wǎng)頁防篡改系統(tǒng)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59144
4、ASUS Control Center SQL注入漏洞
ASUS Control Center是中國華碩(ASUS)公司的一款全新的集中式IT管理軟件。該軟件能夠監(jiān)控與控制華碩服務(wù)器,工作站。ASUS Control Center v1.4.2.5版本存在SQL注入漏洞。攻擊者可利用該漏洞向特定API參數(shù)注入SQL命令,以獲取數(shù)據(jù)庫架構(gòu)或訪問數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-62186
5、上海曉材科技有限公司CAD迷你看圖存在二進(jìn)制漏洞
CAD迷你看圖是一個DWG瀏覽工具,可脫離AutoCAD快速瀏覽DWG圖紙。上海曉材科技有限公司CAD迷你看圖存在二進(jìn)制漏洞,攻擊者可利用該漏洞導(dǎo)致程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57038
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:國家信息安全漏洞共享平臺