您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221107-20221113)
一、境外廠商產(chǎn)品漏洞
1、Siemens POWER METER SICAM Q100輸入驗(yàn)證錯誤漏洞(CNVD-2022-75538)
POWER METER SICAM Q100是一種多功能設(shè)備,用于檢測、報告和分析測量值和事件。Siemens POWER METER SICAM Q100存在輸入驗(yàn)證錯誤漏洞,攻擊者可利用該漏洞使設(shè)備崩潰(隨后自動重啟)或在設(shè)備上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75538
2、F5 BIG-IP iControl SOAP目錄遍歷漏洞
F5 BIG-IP是F5公司的一款集成了網(wǎng)絡(luò)流量編排、負(fù)載均衡、智能DNS,遠(yuǎn)程接入策略管理等功能的應(yīng)用交付平臺。F5 BIG-IP iControl SOAP存在目錄遍歷漏洞,攻擊者可利用該漏洞發(fā)送精心編造的請求到iControl SOAP接口,獲取BIG-IP系統(tǒng)的wsdl文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-74718
3、Microsoft Windows Network File System遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2022-74601)
Microsoft Windows Network File System是美國微軟(Microsoft)公司的一種文件共享解決方案,可讓您使用 NFS 協(xié)議在運(yùn)行 Windows Server 和 UNIX 操作系統(tǒng)的計算機(jī)之間傳輸文件。Microsoft Windows Network File System存在遠(yuǎn)程代碼執(zhí)行漏洞,該漏洞是由于網(wǎng)絡(luò)文件系統(tǒng)組件中的缺陷引起的。攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-74601
4、Siemens POWER METER SICAM Q100會話固定漏洞
POWER METER SICAM Q100是一種多功能設(shè)備,用于檢測、報告和分析測量值和事件。Siemens POWER METER SICAM Q100存在會話固定漏洞,攻擊者可利用該漏洞通過激活的會話訪問用戶的帳戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75541
5、Aruba Networks ArubaOS緩沖區(qū)溢出漏洞
Aruba Networks ArubaOS是美國安移通(Aruba Networks)公司的一套面向Aruba Mobility-Defined Networks(包括移動控制器和移動接入交換機(jī))的操作系統(tǒng)。Aruba Networks ArubaOS存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞導(dǎo)致未經(jīng)過身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75546
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC15緩沖區(qū)溢出漏洞(CNVD-2022-75823)
Tenda AC15是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC15存在緩沖區(qū)溢出漏洞,該漏洞是由于WifiBasicSet函數(shù)的邊界檢查不當(dāng)造成的。遠(yuǎn)程攻擊者可利用該漏洞會溢出緩沖區(qū)并在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75823
2、北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EWEB網(wǎng)管系統(tǒng)存在文件下載漏洞
銳捷網(wǎng)絡(luò)是一家擁有包括交換機(jī)、路由器、軟件、安全防火墻、無線產(chǎn)品、存儲等全系列的網(wǎng)絡(luò)設(shè)備產(chǎn)品線及解決方案的專業(yè)化網(wǎng)絡(luò)廠商。北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司EWEB網(wǎng)管系統(tǒng)存在文件下載漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-73067
3、Tenda AC9命令注入漏洞(CNVD-2022-75820)
Tenda AC9是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC9 V15.03.2.21_cn版本存在命令注入漏洞,攻擊者可利用此漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75820
4、達(dá)夢數(shù)據(jù)庫管理系統(tǒng)(DM8)存在邏輯缺陷漏洞
達(dá)夢數(shù)據(jù)庫管理系統(tǒng)(DM8)是新一代大型通用關(guān)系型數(shù)據(jù)庫。達(dá)夢數(shù)據(jù)庫管理系統(tǒng)(DM8)存在邏輯缺陷漏洞,攻擊者可利用該漏洞寫入任意文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-72183
5、Tenda W6堆棧溢出漏洞(CNVD-2022-75787)
Tenda W6是中國騰達(dá)(Tenda)公司的一款無線WiFi AP接入點(diǎn)路由器。Tenda W6存在堆棧溢出漏洞,該漏洞是有函數(shù)WifiMacFilterSet中堆棧緩沖區(qū)溢出引起的。遠(yuǎn)程攻擊者可以利用此漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-75787
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺