您所在的位置:首页 > 
上周关注度较高的产品安全漏洞(20220314-20220320)
2022-04-12 15:54:29    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Liferay Portal和Liferay DXP跨站脚本漏洞(CNVD-2022-19496)

Liferay Portal和Liferay DXP都是美国Liferay公司的产品。Liferay Portal是一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay DXP是一套数字化体验协作平台。Liferay Portal和Liferay DXP存在跨站脚本漏洞,远程攻击者可利用该漏洞通过Groovy脚本的输出注入任意Web脚本或HTML。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-19496

2、Fortinet FortiProxy SSL VPN跨站请求伪造漏洞

Fortinet FortiProxy SSL VPN是美国Fortinet公司的一个应用软件。提供了一个入侵检测功能。Fortinet FortiProxy SSLVPN存在跨站请求伪造漏洞,未经身份验证的攻击者可利用该漏洞进行跨站点请求伪造(CSRF)攻击。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-19075

3、WordPress LoginPress Plugin跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress LoginPressPlugin 1.5.12之前版本存在跨站脚本漏洞,该漏洞源于插件在将重定向页面参数输出回属性之前没有进行转义,攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-19798

4、WordPress Core Tweaks WP Setup plugin跨站请求伪造漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Core Tweaks WPSetup plugin 4.1及之前按版本存在跨站请求伪造漏洞,该漏洞源于没有适当的 CSRF 保护,攻击者可利用此漏洞任意更改管理员电子邮件或创建另一个管理员帐户并通过 CSRF 攻击接管网站。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-19801

5、Dell BIOS输入验证漏洞

Dell是一家生产、设计、销售家用以及办公室电脑的公司,同时还生产与销售服务器、数据储存设备、网络设备等产品。Dell BIOS包含错误的输入验证漏洞。本地经过身份验证的攻击者可能会利用该漏洞通过使用SMI在SMM期间执行任意代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-20796

二、境内厂商产品漏洞

1、Huawei P30 JavaScript注入漏洞

Huawei P30是中国华为(Huawei)公司的一款智能手机。Huawei P30存在JavaScript注入漏洞,攻击者可利用漏洞通过发送恶意应用程序请求来启动JavaScript注入。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-20327

2、Huawei HarmonyOS堆缓冲区溢出漏洞

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在堆缓冲区溢出漏洞,该漏洞源于产品的某个组件未能正确判断内存边界。攻击者可利用漏洞会重写相邻对象的内存。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-20314

3、江西铭软科技有限公司MCMS存在未明漏洞

Mcms是江西铭软科技有限公司的一个完整开源的 J2ee系统。Mcms v5.1版本存在SQL注入漏洞,攻击者可利用该漏洞通过/ms/cms/content/list.do执行sql注入。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-20178

4、四创科技有限公司山洪灾害监测预警系统存在逻辑缺陷漏洞(CNVD-2022-16618)

四创科技有限公司是一家致力于中国防灾减灾事业的技术型企业。四创科技有限公司山洪灾害监测预警系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-16618

5、Huawei eCNS280_TD和ESE620X vESS授权问题漏洞

Huawei eCNS280_TD是中国华为(Huawei)公司的无线宽带集群系统的核心网设备。Huawei ESE620X vESS是中国华为(Huawei)公司的一个虚拟企业服务控制器。Huawei eCNS280_TD和ESE620X vESS存在授权问题漏洞,该漏洞源于文件访问未被正确授权。攻击者可利用漏洞绕过目标系统上的授权过程。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-20324

[编辑:张旭]

  • 黄河新闻网手机版

  • 黄河新闻网官方微信

  • 山西省委社情民意通道