您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產(chǎn)品安全漏洞
(20220822-20220828)
一、境外廠商產(chǎn)品漏洞
1、Adobe Acrobat Reader緩沖區(qū)溢出漏洞(CNVD-2022-58464)
Adobe Acrobat Reader是美國奧多比(Adobe)公司的一款PDF查看器。該軟件用于打印,簽名和注釋 PDF。Adobe Acrobat Reader存在緩沖區(qū)溢出漏洞,該漏洞源于越界寫入。攻擊者可利用該漏洞執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58464
2、SAP Business One CSV注入漏洞
SAP Business One是德國思愛普(SAP)公司的一套企業(yè)管理軟件。該軟件包括財務管理、運營管理和人力資源管理等功能。SAP Business One 10.0版本存在CSV注入漏洞,攻擊者可利用該漏洞在受害者的計算機上執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-58470
3、Microsoft HEVC Video Extensions遠程代碼執(zhí)行漏洞(CNVD-2022-59676)
Microsoft HEVC Video Extensions是美國微軟(Microsoft)公司的一個視頻擴展應用程序。該應用使計算機和設備可以讀取高效視頻編碼或HEVC視頻。Microsoft HEVC Video Extensions存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)上執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59676
4、Fidelis Network Deception命令注入漏洞
Fidelis Network Deception是美國Fidelis公司的一款安全產(chǎn)品。用于檢測威脅并防止數(shù)據(jù)丟失,有檢測惡意行為、識別流量異常、自動響應高級威脅等功能。Fidelis Network and Deception 9.4.5之前版本存在命令注入漏洞,該漏洞源于CommandPost的feed參數(shù)在使用feed_comm_test值時存在命令注入,攻擊者可利用該漏洞通過特殊的HTTP請求執(zhí)行系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59173
5、Linksys MR8300操作系統(tǒng)命令注入漏洞
Linksys MR8300是美國Linksys公司的一款高性能三頻路由器。Linksys MR8300 Router 1.0版本存在操作系統(tǒng)命令注入漏洞,該漏洞源于在注冊DDNS服務時,通過指定用戶名和密碼,攻擊者可以利用該漏洞執(zhí)行任意操作系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59208
二、境內(nèi)廠商產(chǎn)品漏洞
1、網(wǎng)御漏洞掃描系統(tǒng)存在命令執(zhí)行漏洞
北京網(wǎng)御星云信息技術有限公司業(yè)務涵蓋網(wǎng)絡邊界安全防護、應用與數(shù)據(jù)安全防護、全網(wǎng)安全風險管理、專業(yè)安全解決方案和專業(yè)安全服務等多個方向。網(wǎng)御漏洞掃描系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56532
2、WUZHI CMS SQL注入漏洞(CNVD-2022-59014)
WUZHI CMS是五指(WUZHI)公司的一套基于PHP和MySQL的開源內(nèi)容管理系(CMS)。WUZHI CMS v4.1.0版本存在SQL注入漏洞,攻擊者可利用該漏洞通過/coreframe/app/pay/admin/index.php中的$keyValue參數(shù)執(zhí)行任意SQL命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59014
3、Lenovo Personal Cloud Storage信息泄露漏洞
Lenovo Personal Cloud Storage是中國聯(lián)想(Lenovo)公司的一個云存儲平臺。Lenovo Personal Cloud Storage存在信息泄露漏洞,攻擊者可利用該漏洞檢索設備和網(wǎng)絡詳細信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59197
4、Huawei MindSpore Community Tile信息泄露漏洞
Huawei MindSpore Community是中國華為(Huawei)公司的開源深度學習框架。Huawei MindSpore Community Tile存在信息泄露漏洞,該漏洞源于當輸入數(shù)據(jù)類型不是int或int32時將訪問敏感數(shù)據(jù)。攻擊者可利用此漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59378
5、Lenovo Personal Cloud Storage信任管理問題漏洞
Lenovo Personal Cloud Storage(聯(lián)想個人云存儲)是中國聯(lián)想(Lenovo)公司的一款個人云存儲。Lenovo Personal Cloud Storage存在信任管理問題漏洞,該漏洞源于Web界面和串行端口的默認管理員密碼較弱,攻擊者可利用該漏洞通過物理或本地網(wǎng)絡訪問未經(jīng)授權的設備。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-59196
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺