您所在的位置:首页 > 
上周关注度较高的产品安全漏洞(20220321-20220327)
2022-04-12 15:53:22    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、WordPress Tradetracker-Store SQL注入漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPressTradetracker-Store存在SQL注入漏洞,该漏洞源于插件中xmlfeed的测试参数在插入到SQL语句之前未进行消毒、转义或验证,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-22334

2、Netgear DGND3700v2命令执行漏洞

Netgear是⼀家1996年成⽴,总部位于加州圣荷西的电脑⽹络设备开发商。DGND3700v2是Netgear 旗下⼀款⽆线路由器。Netgear DGND3700v2命令执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-22338

3、Nextcloud Talk输入验证错误漏洞

Nextcloud Talk是德国Nextcloud公司的一款自托管的本地音频/视频和聊天通信服务。Nextcloud Talk 12.1.2之前版本存在用户重定向漏洞,该漏洞源于系统未对目标跳转的未做合理处理,攻击者可利用该漏洞将用户重定向的恶意网站从事钓鱼等攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21824

4、Samsung Wear Os访问控制错误漏洞

Samsung Wear Os是韩国三星(Samsung)公司的一个Android操作系统的版本。专为智能手表等可穿戴式电脑设备所设计。Samsung Wear Os 3中的 StRetailModeReceiver 存在访问控制错误漏洞,该漏洞源于不受信任的应用程序在没有适当权限的情况下允许重置默认设置。攻击者可利用此漏洞导致未经授权的应用程序意外访问。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21821

5、Adobe After Effects缓冲区溢出漏洞(CNVD-2022-22096)

Adobe After Effects是美国奥多比(Adobe)公司的一套视觉效果和动态图形制作软件。Adobe After Effects存在缓冲区溢出漏洞,攻击者可利用该漏洞在当前用户的上下文中执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-22096

二、境内厂商产品漏洞

1、Nacos跨站脚本漏洞

Nacos是中国阿里巴巴(Alibaba)的一个动态服务发现、配置和服务管理平台。该软件支持基于 DNS 和基于 RPC 的服务发现,可提供提供实时健康检查,阻止服务向不健康的主机或服务实例发送请求等功能。Nacos 2.0.3版本中存在跨站脚本漏洞,该漏洞源于pageSize 和 pageNo 参数缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21816

2、Totolink X5000R和TotoLink A7000R命令注入漏洞(CNVD-2022-21813)

Totolink X5000R是中国Totolink公司的一个路由器。TotoLink A7000R是中国TotoLink公司的一款无线路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21813

3、Tenda AX1806缓冲区溢出漏洞

Tenda AX1806是中国腾达(Tenda)公司的一个WiFi6无线路由器。Tenda AX1806 v1.0.0.1存在安全漏洞,该漏洞源于函数saveParentControlInfo的堆溢出。攻击者可利用该漏洞通过urls参数导致拒绝服务(DoS)。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21819

4、四创科技有限公司河长制综合管理平台存在SQL注入漏洞

四创科技有限公司是中国减灾兴利信息服务提供商。四创科技有限公司河长制综合管理平台存在SQL注入漏洞,攻击者可利用该漏洞获取数据库信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-16316

5、Totolink X5000R和TotoLink A7000R命令注入漏洞

Totolink X5000R是中国Totolink公司的一个路由器。TotoLink A7000R是中国TotoLink公司的一款无线路由器。Totolink路由器的X5000R V9.1.0u.6118_B20201102和A7000RV9.1.0u.6115_B20201022存在安全漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-21814

[编辑:张旭]

  • 黄河新闻网手机版

  • 黄河新闻网官方微信

  • 山西省委社情民意通道