您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220815-20220821)
一、境外廠商產(chǎn)品漏洞
1、SAP BusinessObjects Business Intelligence Platform授權(quán)問題漏洞
SAP BusinessObjects Business Intelligence Platform是德國思愛普(SAP)公司的一款完備的商務(wù)分析平臺。該平臺集市場領(lǐng)先的SAP數(shù)據(jù)整合產(chǎn)品、數(shù)據(jù)管理產(chǎn)品和商務(wù)智能(BI)產(chǎn)品于一身,可消除系統(tǒng)集成難題,快速、輕松地部署高性能的商務(wù)分析軟件。SAP BusinessObjects Business Intelligence Platform存在授權(quán)問題漏洞,攻擊者可利用該漏洞查看、編輯或修改受限制的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56940
2、SAP NetWeaver Development Infrastructure跨站腳本漏洞
SAP NetWeaver Development Infrastructure是德國思愛普(SAP)公司的提供了一致的開發(fā)環(huán)境,開發(fā)團(tuán)隊(duì),并支持軟件開發(fā)貫穿產(chǎn)品的整個生命周期。SAP NetWeaver Development Infrastructure存在跨站腳本漏洞,攻擊者可利用該漏洞將腳本注入U(xiǎn)RL并在用戶的瀏覽器中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56950
3、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞(CNVD-2022-56944)
SAP BusinessObjects Business Intelligence Platform是德國思愛普(SAP)公司的一款完備的商務(wù)分析平臺。該平臺集市場領(lǐng)先的SAP數(shù)據(jù)整合產(chǎn)品、數(shù)據(jù)管理產(chǎn)品和商務(wù)智能 (BI) 產(chǎn)品于一身,可消除系統(tǒng)集成難題,快速、輕松地部署高性能的商務(wù)分析軟件。SAP BusinessObjects Business Intelligence Platform存在信息泄露漏洞,具有管理員權(quán)限的攻擊者可利用該漏洞在特定條件下讀取和解密LCMBIAR文件的密碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56944
4、SAP S/4HANA輸入驗(yàn)證錯誤漏洞
SAP S/4HANA是德國SAP公司的一個基于SAP HANA內(nèi)存數(shù)據(jù)庫系統(tǒng)的的企業(yè)資源管理軟件。SAP S/4HANA存在輸入驗(yàn)證錯誤漏洞,該漏洞源于管理支票簿組件缺少輸入驗(yàn)證,攻擊者可利用該漏洞插入或編輯數(shù)據(jù)庫中現(xiàn)有字段的值。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56948
5、Microsoft Azure Site Recovery權(quán)限提升漏洞(CNVD-2022-57193)
Microsoft Azure Site Recovery是美國微軟(Microsoft)公司的一種站點(diǎn)恢復(fù)(DRaaS),用于云和混合云架構(gòu)。Microsoft Azure Site Recovery存在權(quán)限提升漏洞。攻擊者可利用該漏洞在系統(tǒng)上獲得提升的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57193
二、境內(nèi)廠商產(chǎn)品漏洞
1、ZZCMS SQL注入漏洞(CNVD-2022-58309)
ZZCMS是中國ZZCMS團(tuán)隊(duì)的一套內(nèi)容管理系統(tǒng)(CMS)。ZZCMS 2019版本存在安全漏洞,攻擊者可利用該漏洞可通過/admin/showbad.php中id參數(shù)執(zhí)行SQL注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58309
2、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-57610)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS系統(tǒng)應(yīng)用存在安全漏洞,該漏洞源于手機(jī)激活鎖存在配置缺陷。攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57610
3、ZZCMS SQL注入漏洞(CNVD-2022-58305)
ZZCMS是中國ZZCMS團(tuán)隊(duì)的一套內(nèi)容管理系統(tǒng)(CMS)。ZZCMS 2019版本存在安全漏洞,攻擊者可利用該漏洞通過/admin/deluser.php中id參數(shù)執(zhí)行SQL注入攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58305
4、Huawei HarmonyOS安全繞過漏洞(CNVD-2022-57613)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS存在安全漏洞,攻擊者可利用該漏洞對系統(tǒng)完整性造成影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57613
5、Huawei HarmonyOS拒絕服務(wù)漏洞(CNVD-2022-57611)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內(nèi)核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS圖形組件存在安全漏洞,該漏洞源于圖形加速服務(wù)存在多線程訪問數(shù)據(jù)庫,攻擊者可利用該漏洞造成服務(wù)異常。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57611
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺