您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221024-20221030)
一、境外廠商產(chǎn)品漏洞
1、Avantune Genialcloud ProJ跨站腳本漏洞
Avantune Genialcloud ProJ是加拿大Avantune公司的一個(gè)基于云的ERP平臺(tái)。Avantune Genialcloud ProJ 10版本存在跨站腳本漏洞,攻擊者可利用該漏洞通過精心設(shè)計(jì)的有效負(fù)載注入和執(zhí)行任意Web腳本或HTML。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71647
2、Chris Brame Trudesk信息泄露漏洞
Chris Brame Trudesk是美國(guó)Chris Brame公司的一個(gè)開源幫助臺(tái)/票務(wù)解決方案。Chris Brame Trudesk 1.2.3之前版本存在信息泄露漏洞,該漏洞源于應(yīng)用將敏感信息暴露給未授權(quán)的參與者。 攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71648
3、Cybonet PineApp Mail Relay SQL注入漏洞
Cybonet PineApp Mail Secure是以色列Cybonet公司的在網(wǎng)絡(luò)外圍阻止大多數(shù)惡意電子郵件威脅,同時(shí)提供一系列附加選項(xiàng)以實(shí)現(xiàn)全面的安全和消息控制。Cybonet PineApp Mail Relay存在SQL注入漏洞,該漏洞源于應(yīng)用缺少對(duì)外部輸入SQL語句的驗(yàn)證。攻擊者可利用該漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71112
4、Microweber信息泄露漏洞(CNVD-2022-71439)
Microweber是美國(guó)Microweber社區(qū)的一套可提供拖拽功能的網(wǎng)上商店管理系統(tǒng)。該系統(tǒng)包括添加商品、圖片等模塊。Microweber 1.3之前版本存在信息泄露漏洞,該漏洞源于當(dāng)用戶上傳他的個(gè)人資料圖片時(shí),上傳圖片的EXIF地理位置數(shù)據(jù)不會(huì)被剝離。攻擊者可利用該漏洞獲取microweber用戶的敏感信息,例如他們的地理位置、他們的設(shè)備信息,例如設(shè)備名稱、版本、使用的軟件和軟件版本等。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71439
5、Samsung Finder存在未明漏洞
Samsung Finder是韓國(guó)三星(Samsung)移動(dòng)設(shè)備的一個(gè)功能。Samsung Finder存在安全漏洞,該漏洞源于當(dāng)使用隱式意圖調(diào)用時(shí),并未對(duì)意圖消息接收端進(jìn)行限制,攻擊者可利用該漏洞通過Finder的權(quán)限啟動(dòng)某些活動(dòng)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70733
二、境內(nèi)廠商產(chǎn)品漏洞
1、TOTOLINK T8存在緩沖區(qū)溢出漏洞(CNVD-2022-69723)
TOTOLINK T8是中國(guó)吉翁電子(TOTOLINK)公司的一款無線雙頻路由器。TOTOLINK T8存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-69723
2、網(wǎng)御防火墻系統(tǒng)存在弱口令漏洞
北京網(wǎng)御星云信息技術(shù)公司是國(guó)內(nèi)信息安全行業(yè)的領(lǐng)軍企業(yè),專業(yè)從事信息安全產(chǎn)品的研發(fā)、生產(chǎn)與銷售。網(wǎng)御防火墻系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-69687
3、Tongda2000 SQL注入漏洞(CNVD-2022-71115)
Tongda2000是中國(guó)通達(dá)(Tongda)公司的一套網(wǎng)絡(luò)智能辦公系統(tǒng)。Tongda2000 v11.10版本中存在SQL注入漏洞,該漏洞源于產(chǎn)品未對(duì)change_box.php文件中的DELETE_STR參數(shù)數(shù)據(jù)中的特殊字符做有效過濾。攻擊者可利用該漏洞執(zhí)行惡意SQL。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71115
4、Tongda2000 SQL注入漏洞(CNVD-2022-71113)
Tongda2000是中國(guó)通達(dá)(Tongda)公司的一套網(wǎng)絡(luò)智能辦公系統(tǒng)。Tongda2000 v11.10版本中存在SQL注入漏洞,該漏洞源于產(chǎn)品未對(duì)delete_query.php文件中的DELETE_STR參數(shù)數(shù)據(jù)中的特殊字符進(jìn)行有效過濾。攻擊者可利用該漏洞執(zhí)行惡意SQL語句。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-71113
5、深圳市福斯康姆智能科技有限公司Real-time H.264 IP Camera Monitoring System存在弱口令漏洞
深圳市福斯康姆智能科技有限公司是一家總部位于廣東深圳、專業(yè)從事網(wǎng)絡(luò)攝像機(jī)產(chǎn)品的高科技公司。深圳市福斯康姆智能科技有限公司Real-time H.264 IP Camera Monitoring System存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-70693
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)