您所在的位置:首页 > 
上周关注度较高的产品安全漏洞(20220404-20220410)
2022-04-12 16:14:17    来源:CNVD漏洞平台

一、境外厂商产品漏洞

1、Google Android权限提升漏洞(CNVD-2022-26766)

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞,该漏洞源于WindowManager中缺少权限检查,攻击者可利用该漏洞升级权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26766

2、Apache James Server远程命令执行漏洞

Apache James Server是美国阿帕奇(Apache)软件基金会的一款采用纯Java技术开发的开源SMTP和POP3邮件服务器及NNTP新闻服务器。Apache James Server存在远程命令执行漏洞。攻击者可利用该漏洞在浏览器上下文中执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27431

3、Google Android权限提升漏洞(CNVD-2022-26765)

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞,攻击者可利用该漏洞升级权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26765

4、WordPress插件Wappointment跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress插件Wappointment存在跨站脚本漏洞。该漏洞源于程序未能正确过滤用户提供的输入。攻击者可利用该漏洞执行客户端代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27430

5、F5 BIG-IQ访问控制错误漏洞(CNVD-2022-26842)

F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。F5 BIG-IQ system存在访问控制错误漏洞,该漏洞源于BIG-IQ system中的访问限制不当造成的。 远程管理员可以访问由同一 BIG-IQ 系统管理的所有 BIG-IP 设备。攻击者可利用该漏洞未经授权访问其他受限功能。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26842

二、境内厂商产品漏洞

1、温州互引信息技术有限公司BossCMS存在命令执行漏洞

BossCMS是温州互引信息技术有限公司开发的一款基于自主研发PHP框架MySQL架构的内容管理系统。温州互引信息技术有限公司BossCMS存在命令执行漏洞,攻击这可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21722

2、Tenda AC9缓冲区溢出漏洞(CNVD-2022-26240)

Tenda AC9是中国腾达(Tenda)公司的一款无线路由器。Tenda AC9 v15.03.2.21_cn存在缓冲区溢出漏洞,该漏洞源于PowerSaveSet函数中的时间参数在内存上执行操作时,未正确验证数据边界,攻击者可利用该漏洞导致堆缓冲区溢出并可能执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26240

3、武汉达梦数据库股份有限公司达梦数据库管理系统存在代码执行漏洞

达梦数据库管理系统是达梦公司推出的具有完全自主知识产权的数据库管理系统。武汉达梦数据库股份有限公司达梦数据库管理系统存在代码执行漏洞,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21700

4、上海海典软件股份有限公司供应商查询系统存在SQL注入漏洞(CNVD-2022-21719)

供应商查询系统是基于VMI管理思想,将企业的经营业务数据与供应商共享,即时掌控销售资料和库存量,作为市场需求预测和库存补货的解决方法。上海海典软件股份有限公司供应商查询系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21719

5、温州互引信息技术有限公司BossCMS存在命令执行漏洞(CNVD-2022-20212)

BossCMS是温州互引信息技术有限公司开发的一款基于自主研发PHP框架MySQL架构的内容管理系统。温州互引信息技术有限公司BossCMS存在命令执行漏洞 ,攻击者可利用该漏洞获取服务器权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20212

说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

[编辑:张旭]

  • 黄河新闻网手机版

  • 黄河新闻网官方微信

  • 山西省委社情民意通道