您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221128-20221204)
一、境外廠商產(chǎn)品漏洞
1、QEMU拒絕服務漏洞(CNVD-2022-84162)
QEMU 是法國法布里斯-貝拉(Fabrice Bellard)個人開發(fā)者的一套模擬處理器軟件。該軟件具有速度快、跨平臺等特點。QEMU 存在拒絕服務漏洞,該漏洞源于QEMU網(wǎng)卡模擬器錯誤處理了某些值。客戶機內(nèi)部的攻擊者可利用該漏洞導致QEMU崩潰,從而導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84162
2、Wordpress Plugin IP2Location Country Blocker跨站請求偽造漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。WordPress plugin是WordPress開源的一個應用插件。Wordpress Plugin IP2Location Country Blocker 中存在跨站請求偽造漏洞,該漏洞源于產(chǎn)品的ip2location_country_blocker_save_rules鏈接未對用戶身份做有效驗證。攻擊者可利用該漏洞向服務端發(fā)送非預期的請求。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82264
3、Online Reviewer System遠程代碼執(zhí)行漏洞
Online Reviewer System是一個應用軟件。一個在線評論系統(tǒng)。Online Reviewer System 1.0版本存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞繞過圖像上傳過濾器上傳惡意制作的PHP文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82019
4、IdeaRe SpA IdeaRE RefTree文件上傳漏洞
IdeaRe SpA IdeaRE RefTree是意大利亞IdeaRe SpA公司的一個用于管理復雜房地產(chǎn)情況的 Web 應用程序。IdeaRe SpA IdeaRE RefTree 2021.09.17之前版本存在文件上傳漏洞,該漏洞源于應用對上傳的文件缺少有效的驗證。攻擊者可利用此漏洞上傳惡意文件從而遠程執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82267
5、Wordpress Plugin Paid Memberships Pro SQL注入漏洞
WordPress是WordPress(Wordpress)基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網(wǎng)站。Wordpress Plugin Paid Memberships Pro 2.6.7之前版本存在SQL注入漏洞,該漏洞源于插件在SQL語句使用之前未能在其REST路由中轉(zhuǎn)義discount_code,攻擊者可利用該漏洞導致SQL注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82263
二、境內(nèi)廠商產(chǎn)品漏洞
1、PHPSHE拒絕服務漏洞
PHPSHE是靈寶簡好網(wǎng)絡科技有限公司(PHPSHE)的一套網(wǎng)上商城系統(tǒng)。該系統(tǒng)支持快遞跟蹤、在線聊天、訂單評價和數(shù)據(jù)統(tǒng)計等功能。PHPSHE V1.8版本存在拒絕服務漏洞,該漏洞源于注冊表驗證碼中對大量消息請求處理不當。攻擊者可利用此漏洞導致目標服務癱瘓。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82259
2、力控科技ForceControl存在拒絕服務漏洞(CNVD-2022-77992)
Forcecontrol是一款監(jiān)控組態(tài)軟件,主要用于數(shù)據(jù)采集與監(jiān)視控制。力控科技ForceControl存在拒絕服務漏洞,攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77992
3、華天動力協(xié)同辦公系統(tǒng)存在文件上傳漏洞
大連華天軟件有限公司是按照國際先進管理模式和制度組建的高新技術(shù)企業(yè),是一家以技術(shù)領(lǐng)先著稱的協(xié)同管理軟件公司。華天動力協(xié)同辦公系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78443
4、totolink X5000R路由器存在二進制漏洞(CNVD-2022-78386)
totolink X5000R是一款AX1800 Wi-Fi 6路由器,采用最新一代Wi-Fi 6技術(shù)。totolink X5000R路由器存在二進制漏洞,遠程攻擊者可利用該漏洞造成拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78386
5、TCL LinkHub Mesh Wi-Fi confctl_set_guest_wlan拒絕服務漏洞
TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。TCL LinkHub Mesh Wi-Fi confctl_set_guest_wlan存在拒絕服務漏洞,攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82018
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
文章來源:CNVD漏洞平臺