您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221114-20221120)
一、境外廠商產(chǎn)品漏洞
1、IBM InfoSphere Information Server拒絕服務(wù)漏洞
IBM InfoSphere Information Server是美國IBM公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在拒絕服務(wù)漏洞,該漏洞源于輸入驗(yàn)證錯(cuò)誤。攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77508
2、IBM InfoSphere Information Server XML外部實(shí)體注入(XXE)漏洞
IBM InfoSphere Information Server是美國國際商業(yè)機(jī)器(IBM)公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在XML外部實(shí)體注入(XXE)漏洞,該漏洞源于在處理XML數(shù)據(jù)時(shí)容易受到XML外部實(shí)體注入(XXE)攻擊。遠(yuǎn)程攻擊者可利用該漏洞暴露敏感信息或消耗內(nèi)存資源。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77516
3、IBM InfoSphere Information Server跨站腳本漏洞(CNVD-2022-77507)
IBM InfoSphere Information Server是美國IBM公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在跨站腳本漏洞。攻擊者可利用該漏洞在Web UI中嵌入任意JavaScript代碼,從而改變預(yù)期功能,這可能導(dǎo)致可信會(huì)話中的憑據(jù)泄露。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77507
4、Carrier LenelS2 HID Mercury access panels路徑遍歷漏洞
Carrier LenelS2 HID Mercury access panels是美國Carrier公司的一個(gè)控制器面板。Carrier LenelS2 HID Mercury access panels存在路徑遍歷漏洞,攻擊者可利用該漏洞發(fā)送特制的HTTP請(qǐng)求,將任意文件上傳到系統(tǒng)的任意位置。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77062
5、IBM InfoSphere Information Server CSV注入漏洞
IBM InfoSphere Information Server是美國國際商業(yè)機(jī)器(IBM)公司的一套數(shù)據(jù)整合平臺(tái)。該平臺(tái)可用于整合各種渠道獲取的數(shù)據(jù)信息。IBM InfoSphere Information Server 11.7版本存在CSV注入漏洞,該漏洞源于其對(duì)csv文件內(nèi)容驗(yàn)證不當(dāng),遠(yuǎn)程攻擊者可以利用該漏洞在系統(tǒng)上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77514
二、境內(nèi)廠商產(chǎn)品漏洞
1、四川天邑康和通信股份有限公司TY-6201A存在信息泄露漏洞
TY-6201A是一款高性價(jià)比全頻段支持Wi-Fi6的無線路由器。四川天邑康和通信股份有限公司TY-6201A存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-72986
2、四川天邑康和通信股份有限公司TY-6201A存在邏輯缺陷漏洞
TY-6201A是一款高性價(jià)比全頻段支持Wi-Fi6的無線路由器。四川天邑康和通信股份有限公司TY-6201A存在邏輯缺陷漏洞,攻擊者可利用該漏洞通過POST請(qǐng)求特定路徑實(shí)現(xiàn)無權(quán)限修改密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-72985
3、Huawei HarmonyOS權(quán)限提升漏洞(CNVD-2022-78140)
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場(chǎng)景分布式操作系統(tǒng)。Huawei HarmonyOS存在權(quán)限提升漏洞,該漏洞源于AMS模塊中存在序列化/反序列化不匹配。攻擊者可利用該漏洞提升權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78140
4、ShopWind跨站腳本漏洞
ShopWind是中國ShopWind公司的一款基于Yii2.0框架深度重構(gòu)的B2B2C、O2O行業(yè)的電商系統(tǒng)軟件。ShopWind v3.4.3版本存在跨站腳本漏洞,該漏洞源于組件/common/library/Page.php對(duì)用戶提供的數(shù)據(jù)缺乏有效過濾與轉(zhuǎn)義,攻擊者可利用該漏洞導(dǎo)致跨站腳本攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78141
5、Tenda AX180堆棧溢出漏洞(CNVD-2022-78479)
Tenda AX1803是中國騰達(dá)(Tenda)公司的一款雙頻千兆WIFI6路由器。Tenda AX1803存在堆棧溢出漏洞,該漏洞是由于formSetSysToolDDNS函數(shù)的不正確邊界檢查導(dǎo)致的。攻擊者可利用該漏洞會(huì)溢出緩沖區(qū)并在系統(tǒng)上執(zhí)行任意代碼,或?qū)е戮芙^服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78479
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)