您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20220404-20220410)
一、境外廠商產品漏洞
1、Google Android權限提升漏洞(CNVD-2022-26766)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎的開源操作系統。Google Android存在安全漏洞,該漏洞源于WindowManager中缺少權限檢查,攻擊者可利用該漏洞升級權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26766
2、Apache JamesServer遠程命令執行漏洞
Apache James Server是美國阿帕奇(Apache)軟件基金會的一款采用純Java技術開發的開源SMTP和POP3郵件服務器及NNTP新聞服務器。Apache James Server存在遠程命令執行漏洞。攻擊者可利用該漏洞在瀏覽器上下文中執行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27431
3、Google Android權限提升漏洞(CNVD-2022-26765)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎的開源操作系統。Google Android存在安全漏洞,攻擊者可利用該漏洞升級權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26765
4、WordPress插件Wappointment跨站腳本漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress插件Wappointment存在跨站腳本漏洞。該漏洞源于程序未能正確過濾用戶提供的輸入。攻擊者可利用該漏洞執行客戶端代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-27430
5、F5 BIG-IQ訪問控制錯誤漏洞(CNVD-2022-26842)
F5 BIG-IQ是美國F5公司的一套基于軟件的云管理解決方案。該方案支持跨公共和私有云、傳統數據中心和混合環境部署應用交付和網絡服務。F5 BIG-IQ system存在訪問控制錯誤漏洞,該漏洞源于BIG-IQ system中的訪問限制不當造成的。遠程管理員可以訪問由同一 BIG-IQ 系統管理的所有 BIG-IP 設備。攻擊者可利用該漏洞未經授權訪問其他受限功能。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26842
二、境內廠商產品漏洞
1、溫州互引信息技術有限公司BossCMS存在命令執行漏洞
BossCMS是溫州互引信息技術有限公司開發的一款基于自主研發PHP框架MySQL架構的內容管理系統。溫州互引信息技術有限公司BossCMS存在命令執行漏洞,攻擊這可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21722
2、Tenda AC9緩沖區溢出漏洞(CNVD-2022-26240)
Tenda AC9是中國騰達(Tenda)公司的一款無線路由器。Tenda AC9 v15.03.2.21_cn存在緩沖區溢出漏洞,該漏洞源于PowerSaveSet函數中的時間參數在內存上執行操作時,未正確驗證數據邊界,攻擊者可利用該漏洞導致堆緩沖區溢出并可能執行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-26240
3、武漢達夢數據庫股份有限公司達夢數據庫管理系統存在代碼執行漏洞
達夢數據庫管理系統是達夢公司推出的具有完全自主知識產權的數據庫管理系統。武漢達夢數據庫股份有限公司達夢數據庫管理系統存在代碼執行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21700
4、上海海典軟件股份有限公司供應商查詢系統存在SQL注入漏洞(CNVD-2022-21719)
供應商查詢系統是基于VMI管理思想,將企業的經營業務數據與供應商共享,即時掌控銷售資料和庫存量,作為市場需求預測和庫存補貨的解決方法。上海海典軟件股份有限公司供應商查詢系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-21719
5、溫州互引信息技術有限公司BossCMS存在命令執行漏洞(CNVD-2022-20212)
BossCMS是溫州互引信息技術有限公司開發的一款基于自主研發PHP框架MySQL架構的內容管理系統。溫州互引信息技術有限公司BossCMS存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器權限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-20212
說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
原文來源:CNVD漏洞平臺