您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20221128-20221204)
一、境外廠商產(chǎn)品漏洞
1、QEMU拒絕服務(wù)漏洞(CNVD-2022-84162)
QEMU 是法國(guó)法布里斯-貝拉(Fabrice Bellard)個(gè)人開發(fā)者的一套模擬處理器軟件。該軟件具有速度快、跨平臺(tái)等特點(diǎn)。QEMU 存在拒絕服務(wù)漏洞,該漏洞源于QEMU網(wǎng)卡模擬器錯(cuò)誤處理了某些值。客戶機(jī)內(nèi)部的攻擊者可利用該漏洞導(dǎo)致QEMU崩潰,從而導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84162
2、Wordpress Plugin IP2Location Country Blocker跨站請(qǐng)求偽造漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是WordPress開源的一個(gè)應(yīng)用插件。Wordpress Plugin IP2Location Country Blocker 中存在跨站請(qǐng)求偽造漏洞,該漏洞源于產(chǎn)品的ip2location_country_blocker_save_rules鏈接未對(duì)用戶身份做有效驗(yàn)證。攻擊者可利用該漏洞向服務(wù)端發(fā)送非預(yù)期的請(qǐng)求。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82264
3、Online Reviewer System遠(yuǎn)程代碼執(zhí)行漏洞
Online Reviewer System是一個(gè)應(yīng)用軟件。一個(gè)在線評(píng)論系統(tǒng)。Online Reviewer System 1.0版本存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞繞過(guò)圖像上傳過(guò)濾器上傳惡意制作的PHP文件。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82019
4、IdeaRe SpA IdeaRE RefTree文件上傳漏洞
IdeaRe SpA IdeaRE RefTree是意大利亞IdeaRe SpA公司的一個(gè)用于管理復(fù)雜房地產(chǎn)情況的 Web 應(yīng)用程序。IdeaRe SpA IdeaRE RefTree 2021.09.17之前版本存在文件上傳漏洞,該漏洞源于應(yīng)用對(duì)上傳的文件缺少有效的驗(yàn)證。攻擊者可利用此漏洞上傳惡意文件從而遠(yuǎn)程執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82267
5、Wordpress Plugin Paid Memberships Pro SQL注入漏洞
WordPress是WordPress(Wordpress)基金會(huì)的一套使用PHP語(yǔ)言開發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。Wordpress Plugin Paid Memberships Pro 2.6.7之前版本存在SQL注入漏洞,該漏洞源于插件在SQL語(yǔ)句使用之前未能在其REST路由中轉(zhuǎn)義discount_code,攻擊者可利用該漏洞導(dǎo)致SQL注入。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82263
二、境內(nèi)廠商產(chǎn)品漏洞
1、PHPSHE拒絕服務(wù)漏洞
PHPSHE是靈寶簡(jiǎn)好網(wǎng)絡(luò)科技有限公司(PHPSHE)的一套網(wǎng)上商城系統(tǒng)。該系統(tǒng)支持快遞跟蹤、在線聊天、訂單評(píng)價(jià)和數(shù)據(jù)統(tǒng)計(jì)等功能。PHPSHE V1.8版本存在拒絕服務(wù)漏洞,該漏洞源于注冊(cè)表驗(yàn)證碼中對(duì)大量消息請(qǐng)求處理不當(dāng)。攻擊者可利用此漏洞導(dǎo)致目標(biāo)服務(wù)癱瘓。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82259
2、力控科技ForceControl存在拒絕服務(wù)漏洞(CNVD-2022-77992)
Forcecontrol是一款監(jiān)控組態(tài)軟件,主要用于數(shù)據(jù)采集與監(jiān)視控制。力控科技ForceControl存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77992
3、華天動(dòng)力協(xié)同辦公系統(tǒng)存在文件上傳漏洞
大連華天軟件有限公司是按照國(guó)際先進(jìn)管理模式和制度組建的高新技術(shù)企業(yè),是一家以技術(shù)領(lǐng)先著稱的協(xié)同管理軟件公司。華天動(dòng)力協(xié)同辦公系統(tǒng)存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78443
4、totolink X5000R路由器存在二進(jìn)制漏洞(CNVD-2022-78386)
totolink X5000R是一款A(yù)X1800 Wi-Fi 6路由器,采用最新一代Wi-Fi 6技術(shù)。totolink X5000R路由器存在二進(jìn)制漏洞,遠(yuǎn)程攻擊者可利用該漏洞造成拒絕服務(wù)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78386
5、TCL LinkHub Mesh Wi-Fi confctl_set_guest_wlan拒絕服務(wù)漏洞
TCL LinkHub Mesh Wi-Fi是TCL公司的一款路由器。TCL LinkHub Mesh Wi-Fi confctl_set_guest_wlan存在拒絕服務(wù)漏洞,攻擊者可利用該漏洞導(dǎo)致拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-82018
說(shuō)明:關(guān)注度分析由CNVD根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
文章來(lái)源:CNVD漏洞平臺(tái)