您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221219-20221225)
一、境外廠商產(chǎn)品漏洞
1、Siemens Teamcenter Visualization和JT2Go越界寫入漏洞
Siemens Teamcenter Visualization是一個(gè)可為設(shè)計(jì)2D、3D場(chǎng)景提供團(tuán)隊(duì)協(xié)作功能的軟件。Siemens JT2GO是一款JT文件查看器。Siemens Teamcenter Visualization和JT2Go存在越界寫入漏洞,攻擊者可利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88425
2、Siemens Teamcenter Visualization和JT2Go越界讀取漏洞(CNVD-2022-88426)
Siemens Teamcenter Visualization是一個(gè)可為設(shè)計(jì)2D、3D場(chǎng)景提供團(tuán)隊(duì)協(xié)作功能的軟件。Siemens JT2GO是一款JT文件查看器。Siemens Teamcenter Visualization和JT2Go存在越界讀取漏洞,攻擊者可利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88426
3、Advantech iView SQL注入漏洞
Advantech iView是中國研華(Advantech)公司的一個(gè)基于簡(jiǎn)單網(wǎng)絡(luò)協(xié)議(SNMP)來對(duì)B+B SmartWorx設(shè)備進(jìn)行管理的軟件。Advantech iView 5.7.04.6469版本存在SQL注入漏洞,該漏洞源于在其ConfigurationServlet端點(diǎn)中存在缺陷,攻擊者可利用漏洞在setConfiguration操作中創(chuàng)建一個(gè)特殊的column_value參數(shù),以繞過com.imc.iview.utils.CUtils.checkSQLInjection()中的檢查來執(zhí)行SQL語句,獲取數(shù)據(jù)庫數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88792
4、Apache CXF輸入驗(yàn)證錯(cuò)誤漏洞
Apache CXF是美國阿帕奇(Apache)基金會(huì)的一個(gè)開源的Web服務(wù)框架。該框架支持多種Web服務(wù)標(biāo)準(zhǔn)、多種前端編程API等。Apache CXF存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞執(zhí)行遠(yuǎn)程目錄列表或代碼滲漏。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-89429
5、Cisco Enterprise NFV Infrastructure Software命令注入漏洞(CNVD-2022-89248)
Cisco Enterprise NFV Infrastructure Software是美國思科(Cisco)公司的一套NVF基礎(chǔ)架構(gòu)軟件平臺(tái)。該平臺(tái)可以通過中央?yún)f(xié)調(diào)器和控制器實(shí)現(xiàn)虛擬化服務(wù)的全生命周期管理。Cisco Enterprise NFV Infrastructure Software存在命令注入漏洞,攻擊者可利用該漏洞在鏡像注冊(cè)過程中向NFVIS主機(jī)注入在根級(jí)別執(zhí)行的命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-89248
二、境內(nèi)廠商產(chǎn)品漏洞
1、浙江大華技術(shù)股份有限公司icc智能物聯(lián)綜合管理平臺(tái)存在信息泄露漏洞
浙江大華技術(shù)股份有限公司是全球領(lǐng)先的以視頻為核心的智慧物聯(lián)解決方案提供商和運(yùn)營服務(wù)商。浙江大華技術(shù)股份有限公司icc智能物聯(lián)綜合管理平臺(tái)存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85067
2、四川天邑康和通信股份有限公司W(wǎng)i-Fi6路由器存在XSS漏洞
四川天邑康和通信股份有限公司立足于光通信產(chǎn)業(yè)和移動(dòng)通信產(chǎn)業(yè),長(zhǎng)期致力于通信設(shè)備相關(guān)產(chǎn)品的研發(fā)、生產(chǎn)、銷售及服務(wù),專業(yè)從事家庭/企業(yè)寬帶接入和智能組網(wǎng)設(shè)備、移動(dòng)信號(hào)深度覆蓋、智慧視覺設(shè)備和光纖通信配線及連接設(shè)備等的研發(fā)、生產(chǎn)、銷售和服務(wù)。四川天邑康和通信股份有限公司W(wǎng)i-Fi6路由器存在XSS漏洞,攻擊者可利用該漏洞獲取用戶cookie等敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85072
3、北京久幺幺科技有限公司戲鯨app存在拒絕服務(wù)漏洞
戲鯨app是一款聲音交友軟件。北京久幺幺科技有限公司戲鯨app存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致程序閃退。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85748
4、華天動(dòng)力OA系統(tǒng)存在SQL注入漏洞
華天動(dòng)力OA系統(tǒng)是由大連華天軟件有限公司開發(fā)的協(xié)同辦公軟件。華天動(dòng)力OA系統(tǒng)存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85618
5、銀河麒麟桌面操作系統(tǒng)存在命令注入漏洞
銀河麒麟桌面操作系統(tǒng)是面向桌面應(yīng)用的圖形化桌面操作系統(tǒng)。銀河麒麟桌面操作系統(tǒng)存在命令注入漏洞,攻擊者可利用該漏洞從普通用戶提升至特權(quán)用戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78421
說明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
(編輯:CNVD)
來源:國家信息安全漏洞共享平臺(tái)