您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
上周關注度較高的產品安全漏洞(20220307-20220313)
一、境外廠商產品漏洞
1、Siemens SINEC NMS權限提升漏洞
Siemens SINEC NMS是德國西門子(Siemens)公司的 一個網絡管理系統 (NMS),該系統可用于全天候集中監控、管理和配置具有數萬臺設備的工業網絡,包括與安全相關的領域。Siemens SINEC NMS存在安全漏洞,攻擊者可利用漏洞允許經過身份驗證的低權限用戶實現權限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17790
2、Teleport授權問題漏洞
Teleport是美國Teleport 公司的一個識別身份、多協議的訪問代理。用于工程師和安全專業人員在所有環境中統一對 SSH 服務器、Kubernetes 集群、Web 應用程序和數據庫的訪問。Teleport存在授權問題漏洞,攻擊者可利用該漏洞偽造SSH主機證書。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18315
3、Siemens SINUMERIK MC權限提升漏洞
SINUMERIK MC是一個用于定制機器解決方案的CNC系統。SINUMERIK ONE是一個數字原生數控系統。Siemens SINUMERIK MC存在權限提升漏洞,攻擊者可利用漏洞將其權限升級到root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17780
4、Dell Vnx2 Oe For File安全特征問題漏洞
Dell Vnx2 Oe For File是美國戴爾(Dell)公司的一個操作環境。Dell Vnx2 Oe For File存在安全特征問題漏洞,該漏洞源于在處理身份驗證請求時發生錯誤。遠程攻擊者可利用該漏洞繞過認證過程,獲得對應用程序的未授權訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18261
5、Oracle MySQL Server輸入驗證錯誤漏洞(CNVD-2022-17682)
Oracle MySQL Server是美國甲骨文(Oracle)公司的一款關系型數據庫。Oracle MySQL Server存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞導致MySQL Server掛起或頻繁重復崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17682
二、境內廠商產品漏洞
1、TOTOLink A830R命令注入漏洞
TOTOLink A830R是中國TotoLink公司的一款無線雙頻路由器。TOTOLink A830R V5.9c.4729_B20191112版本存在命令注入漏洞,攻擊者可利用該漏洞通過QUERY_STRING參數執行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17104
2、MCMS存在SQL注入漏洞(CNVD-2022-17364)
MCMS是一款基于java開發的一套輕量級開源內容管理系統。MCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17364
3、TOTOLink A950RG命令注入漏洞
TOTOLink A950RG是中國TotoLink公司的一款無線路由器。TOTOLink A950RG V5.9c.4050_B20190424 和V4.1.2cu.5204_B20210112版本存在命令注入漏洞,攻擊者可利用該漏洞通過QUERY_STRING參數執行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17106
4、Huawei Emui和Magic UI整數溢出漏洞
Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei Emui和Magic UI存在整數溢出漏洞,攻擊者可利用此漏洞導致隨機地址訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17394
5、TerraMaster TOS身份繞過漏洞
TerraMaster(鐵威馬)是全球知名專業存儲品牌。TerraMaster TOS身份繞過漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17750
說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源: CNVD漏洞平臺