您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221121-20221127)
一、境外廠商產(chǎn)品漏洞
1、Linux kernel拒絕服務(wù)漏洞(CNVD-2022-79428)
Linux kernel是美國Linux基金會(huì)的開源操作系統(tǒng)Linux所使用的內(nèi)核。KVM是其中的一個(gè)基于內(nèi)核的虛擬機(jī)。Linux kernel存在拒絕服務(wù)漏洞,該漏洞源于在向磁盤添加分區(qū)時(shí)device_add調(diào)用失敗時(shí)缺少代碼清理。具有用戶權(quán)限的本地攻擊者可利用此漏洞會(huì)導(dǎo)致系統(tǒng)拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-79428
2、Adobe InDesign堆緩沖區(qū)溢出漏洞(CNVD-2022-79412)
Adobe InDesign是美國奧多比(Adobe)公司的一套排版編輯應(yīng)用程序。Adobe InDesign存在堆緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-79412
3、Apache InLong反序列化漏洞
Apache InLong是美國阿帕奇(Apache)基金會(huì)的一站式的海量數(shù)據(jù)集成框架。提供自動(dòng)化、安全、可靠的數(shù)據(jù)傳輸能力。Apache InLong 1.3.0 之前版本存在反序列化漏洞,該漏洞源于應(yīng)用程序在接收用戶提交的序列化數(shù)據(jù)的不安全反序列化處理,具有特定權(quán)限的攻擊者可利用漏洞遠(yuǎn)程執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-79657
4、Adobe Experience Manager跨站腳本漏洞(CNVD-2022-79410)
Adobe Experience Manager(AEM)是美國奧多比(Adobe)公司的一套可用于構(gòu)建網(wǎng)站、移動(dòng)應(yīng)用程序和表單的內(nèi)容管理解決方案。該方案支持移動(dòng)內(nèi)容管理、營銷銷售活動(dòng)管理和多站點(diǎn)管理等。Adobe Experience Manager存在跨站腳本漏洞,攻擊者利用該漏洞會(huì)在受害者瀏覽器的上下文中執(zhí)行惡意JavaScript內(nèi)容。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-79410
5、F5 BIG-IP日志信息泄露漏洞
F5 BIG-IP是美國F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)。F5 BIG-IP存在日志信息泄露漏洞,攻擊者可利用該漏洞通過訪問受密碼保護(hù)的通常無法訪問的分區(qū)來使用或刪除私鑰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-79948
二、境內(nèi)廠商產(chǎn)品漏洞
1、Tenda AC1200命令注入漏洞
Tenda AC1200是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC1200 setIPsecTunnelList函數(shù)的IPsecLocalNet和IPsecRemoteNet參數(shù)存在命令注入漏洞。攻擊者可利用該漏洞執(zhí)行命令注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-80694
2、Huawei HarmonyOS HwChrService模塊授權(quán)問題漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個(gè)操作系統(tǒng)。提供一個(gè)基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在授權(quán)問題漏洞,該漏洞源于HwChrService模塊存在不當(dāng)權(quán)限管理,攻擊者可利用此漏洞導(dǎo)致三方應(yīng)用獲取用戶網(wǎng)絡(luò)信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-81253
3、D-Link DIR-878訪問控制錯(cuò)誤漏洞
D-Link DIR-878是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-878固件1.02B05版本存在訪問控制錯(cuò)誤漏洞,該漏洞源于其存在錯(cuò)誤的訪問控制。攻擊者可利用該漏洞使用空白密碼登錄。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-81492
4、Tenda AC1200授權(quán)錯(cuò)誤漏洞
Tenda AC1200是中國騰達(dá)(Tenda)公司的一款無線路由器。Tenda AC1200 Router Model W15Ev2 V15.11.0.10(1576)存在授權(quán)錯(cuò)誤漏洞。經(jīng)過身份認(rèn)證的攻擊者可利用該漏洞讀取路由器的syslog.log文件,該文件中包含管理員用戶賬戶的MD5密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-80693
5、D-Link DIR-3060緩沖區(qū)溢出漏洞
D-Link DIR-3060是中國友訊(D-Link)公司的一個(gè)路由器。提供一個(gè)連接網(wǎng)絡(luò)的功能。D-Link DIR-3060 DIR3060A1_FW111B04.bin版本存在緩沖區(qū)溢出漏洞,該漏洞源于FUN_0049ac18在處理不受信任的輸入時(shí)出現(xiàn)邊界錯(cuò)誤。遠(yuǎn)程攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-80681
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來源:CNVD漏洞平臺(tái)