您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞(20220221-20220227)
一、境外廠商產品漏洞
1、Oracle MySQL Cluster輸入驗證錯誤漏洞(CNVD-2022-13062)
Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關系數據庫管理系統(tǒng)。MySQL Cluster是其中的一個適用于分布式計算環(huán)境的高實用、高冗余的版本。Oracle MySQL Cluster存在輸入驗證錯誤漏洞,攻擊者可利用此漏洞讀取內存內容或使應用程序崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13062
2、Google TensorFlow輸入驗證錯誤漏洞(CNVD-2022-14990)
Google TensorFlow是美國谷歌(Google)公司的一套用于機器學習的端到端開源平臺。Google Tensorflow存在輸入驗證錯誤漏洞,該漏洞源于缺少對輸入張量形狀的驗證,攻擊者可利用該漏洞發(fā)起拒絕服務攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-14990
3、Apache HTTP Server代碼問題漏洞(CNVD-2022-13199)
Apache HTTP Server是美國阿帕奇(Apache)基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache HTTP Server 存在代碼問題漏洞,該漏洞源于在mod會話中一個NULL指針解引用錯誤。遠程攻擊者可利用該漏洞將專門設計的數據傳遞給應用程序,并執(zhí)行拒絕服務(DoS)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13199
4、IBM OPENBMC跨站腳本漏洞
IBM OPENBMC是美國國際商用機器公司(Ibm)公司的一個 POWER8和POWER9模擬器。IBM OPENBMC在OP910版本存在跨站腳本漏洞,該漏洞源于缺少對用戶提供的數據和輸出的數據校驗過濾。攻擊者可利用該漏洞在客戶端執(zhí)行JavaScript代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-14711
5、Foxit PDF Reader緩沖區(qū)溢出漏洞(CNVD-2022-13354)
Foxit PDF Reader是一款PDF閱讀器。Foxit PDF Reader處理部分Javascript方法存在緩沖區(qū)溢出漏洞,遠程攻擊者可利用該漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或者可以應用程序上下文執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13354
二、境內廠商產品漏洞
1、Tenda Ax3命令注入漏洞(CNVD-2022-13934)
Tenda Ax3是中國騰達(Tenda)公司的一款Ax1800千兆端口雙頻 Wifi 6無線路由器。Tenda AX3 v16.03.12.10_CN存在命令注入漏洞,攻擊者可利用該漏洞通過dmzIp參數造成拒絕服務 (DoS)。參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-13934
2、Reolink RLC-410W數據偽造問題漏洞
Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W v3.0.0.136_20121102版本存在數據偽造問題漏洞,該漏洞源于網絡系統(tǒng)或產品未充分驗證數據的來源或真實性。攻擊者利用此漏洞通過一個特別制作的HTTP請求可以導致固件更新。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-12817
3、長沙米拓信息技術有限公司MetInfo存在文件上傳漏洞(CNVD-2022-08512)
MetInfo是一個以php MySQL進行開發(fā)的企業(yè)建站系統(tǒng)。長沙米拓信息技術有限公司MetInfo存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務器控制權。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-08512
4、Tenda Ax3緩沖區(qū)溢出漏洞(CNVD-2022-13936)
Tenda Ax3是中國騰達(Tenda)公司的一款Ax1800千兆端口雙頻 Wifi 6無線路由器。Tenda AX3 v16.03.12.10_CN存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過列表參數導致拒絕服務 (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13936
5、Reolink RLC-410W TestEmail功能越界寫入漏洞
Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W在v3.0.0.136_20121102版本存在安全漏洞,該漏洞源于TestEmail功能在處理不受信任的輸入時出現邊界錯誤。攻擊者可利用精心構造的請求可能導致越界寫操作。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-12818
說明:關注度分析由CNVD秘書處根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺