您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221205-20221211)
一、境外廠商產(chǎn)品漏洞
1、GNU Emacs命令注入漏洞
GNU Emacs是美國GNU社區(qū)的一個文本編輯器家族。GNU Emacs 28.2版本及之前版本存在命令注入漏洞,該漏洞源于lib-src/etags.c在實現(xiàn)ctags程序時使用了系統(tǒng)C庫函數(shù)。攻擊者可利用漏洞執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85329
2、IBM Db2信息泄露漏洞(CNVD-2022-85416)
IBM DB2是美國國際商業(yè)機器(IBM)公司的一套關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。該系統(tǒng)的執(zhí)行環(huán)境主要有UNIX、Linux、IBMi、z/OS以及Windows服務(wù)器版本。IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞,該漏洞源于權(quán)限管理錯誤。攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85416
3、Amasty Blog Pro for Magento 2跨站腳本漏洞
Amasty Blog是Amasty公司的一個網(wǎng)站頁面擴展。magento2是一款開源PHP電商系統(tǒng)。Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站腳本漏洞,該漏洞源于該插件中博客帖子創(chuàng)建功能未能對short_content和full_content字段進行有效過濾,攻擊者可利用漏洞注入JavaScript代碼,通過帖子(預(yù)覽)或帖子(保存)對管理面板用戶發(fā)起XSS攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84555
4、IBM Engineering Requirements Quality Assistant跨站腳本漏洞
IBM Engineering Requirements Quality Assistant是美國IBM公司的一款基于Watson AI用于輔助開發(fā)人員提高工程需求質(zhì)量的軟件。該應(yīng)用可顯著降低發(fā)現(xiàn)缺陷成本,有利于盡早發(fā)現(xiàn)工程流程中的需求錯誤,加快產(chǎn)品上市。IBM Engineering Requirements Quality Assistant所有版本存在跨站腳本漏洞,攻擊者可以利用該漏洞注入惡意的web腳本。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85423
5、D-Link DIR-882 webGetVarString函數(shù)緩沖區(qū)溢出漏洞
D-Link DIR-882是中國友訊(D-Link)公司的一款無線路由器。D-Link DIR-882固件1.10B02和1.20B06版本存在緩沖區(qū)溢出漏洞,該漏洞源于其webGetVarString函數(shù)對輸入數(shù)據(jù)缺乏長度驗證,攻擊者可利用漏洞導致拒絕服務(wù)或者遠程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85551
二、境內(nèi)廠商產(chǎn)品漏洞
1、用友BIP數(shù)據(jù)應(yīng)用服務(wù)存在邏輯缺陷漏洞
用友創(chuàng)立于1988年,是全球領(lǐng)先的企業(yè)云服務(wù)與軟件提供商。用友BIP數(shù)據(jù)應(yīng)用服務(wù)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-80754
2、ZTE MF286R緩沖區(qū)溢出漏洞
ZTE MF286R是中國中興通訊(ZTE)公司的一款無線路由器。ZTE MF286R mf286r_b07版本之前存在緩沖區(qū)溢出漏洞,該漏洞源于缺乏對wifi接口參數(shù)的輸入驗證,攻擊者可利用該漏洞進行拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85560
3、WAVLINK WN531G3訪問控制錯誤漏洞
WAVLINK WN531G3是中國睿因科技(WAVLINK)公司的一個無線路由器。WAVLINK WN531G3 M31G3.V5030.201204版本和M31G3.V5030.200325版本存在訪問控制錯誤漏洞,攻擊者可利用該漏洞下載配置數(shù)據(jù)和日志文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-86355
4、Infinova HD Network Mini Dome存在弱口令漏洞
英飛拓(Infinova),創(chuàng)立于1993年,公司以智慧安防為核心,是智慧城市、智慧家庭方案提供商和運營服務(wù)商,為全球提供智慧安防、智慧城市、智慧家庭、大數(shù)據(jù)和互聯(lián)網(wǎng)運營服務(wù)。Infinova HD Network Mini Dome存在存在弱口令漏洞。攻擊者可通過默認口令登錄系統(tǒng)后臺,獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-80694
5、MingSoft MCMS SQL注入漏洞(CNVD-2022-85104)
MingSoft MCMS是中國銘飛(MingSoft)公司的一個完整開源的J2ee系統(tǒng)。Mingsoft MCMS存在SQL注入漏洞,該漏洞源于/cms/content/list的categoryId參數(shù)缺少對于SQL數(shù)據(jù)的過濾和轉(zhuǎn)義,攻擊者可利用該漏洞執(zhí)行惡意的SQL命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85104
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺