您所在的位置:首页 > 
上周关注度较高的产品安全漏洞(20220307-20220313)
2022-04-12 16:09:46    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Siemens SINEC NMS权限提升漏洞

Siemens SINEC NMS是德国西门子(Siemens)公司的 一个网络管理系统 (NMS),该系统可用于全天候集中监控、管理和配置具有数万台设备的工业网络,包括与安全相关的领域。Siemens SINEC NMS存在安全漏洞,攻击者可利用漏洞允许经过身份验证的低权限用户实现权限提升。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17790

2、Teleport授权问题漏洞

Teleport是美国Teleport 公司的一个识别身份、多协议的访问代理。用于工程师和安全专业人员在所有环境中统一对 SSH 服务器、Kubernetes 集群、Web 应用程序和数据库的访问。Teleport存在授权问题漏洞,攻击者可利用该漏洞伪造SSH主机证书。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-18315

3、Siemens SINUMERIK MC权限提升漏洞

SINUMERIK MC是一个用于定制机器解决方案的CNC系统。SINUMERIK ONE是一个数字原生数控系统。Siemens SINUMERIK MC存在权限提升漏洞,攻击者可利用漏洞将其权限升级到root。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17780

4、Dell Vnx2 Oe For File安全特征问题漏洞

Dell Vnx2 Oe For File是美国戴尔(Dell)公司的一个操作环境。Dell Vnx2 Oe For File存在安全特征问题漏洞,该漏洞源于在处理身份验证请求时发生错误。远程攻击者可利用该漏洞绕过认证过程,获得对应用程序的未授权访问。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-18261

5、Oracle MySQL Server输入验证错误漏洞(CNVD-2022-17682)

Oracle MySQL Server是美国甲骨文(Oracle)公司的一款关系型数据库。Oracle MySQL Server存在输入验证错误漏洞,攻击者可利用该漏洞导致MySQL Server挂起或频繁重复崩溃。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17682

二、境内厂商产品漏洞

1、TOTOLink A830R命令注入漏洞

TOTOLink A830R是中国TotoLink公司的一款无线双频路由器。TOTOLink A830R V5.9c.4729_B20191112版本存在命令注入漏洞,攻击者可利用该漏洞通过QUERY_STRING参数执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17104

2、MCMS存在SQL注入漏洞(CNVD-2022-17364)

MCMS是一款基于java开发的一套轻量级开源内容管理系统。MCMS存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17364

3、TOTOLink A950RG命令注入漏洞

TOTOLink A950RG是中国TotoLink公司的一款无线路由器。TOTOLink A950RG V5.9c.4050_B20190424 和V4.1.2cu.5204_B20210112版本存在命令注入漏洞,攻击者可利用该漏洞通过QUERY_STRING参数执行任意命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17106

4、Huawei Emui和Magic UI整数溢出漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei Emui和Magic UI存在整数溢出漏洞,攻击者可利用此漏洞导致随机地址访问。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17394

5、TerraMaster TOS身份绕过漏洞

TerraMaster(铁威马)是全球知名专业存储品牌。TerraMaster TOS身份绕过漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-17750

[编辑:张旭]

  • 黄河新闻网手机版

  • 黄河新闻网官方微信

  • 山西省委社情民意通道