(20220523-20220529)

一、境外廠商產品漏洞

1、TRENDnet TI-PG1284i空指針取消引用漏洞

TRENDnet TI-PG Series是美國趨勢網絡(TRENDnet)公司的一系列交換機。TRENDnet TI-PG1284i2.0.2.S0之前版本存在安全漏洞，攻擊者可利用該漏洞通過向設備發送精心制作的lldp數據包而使進程崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-40315

2、Apache DolphinScheduler SQL注入漏洞

Apache DolphinScheduler是美國阿帕奇(Apache)基金會開發的一個分布式去中心化，易擴展的可視化DAG工作流任務調度平臺。致力于解決數據處理流程中錯綜復雜的依賴關系，使調度系統在數據處理流程中開箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻擊者可利用該漏洞獲取和修改底層數據庫中的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641

3、多款Cisco產品緩沖區溢出漏洞(CNVD-2022-32613)

Cisco RV110W Wireless-N VPN Firewall等都是美國思科(Cisco)公司的一款企業級路由器。Cisco RV110W Wireless-NVPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router中基于Web的管理界面存在緩沖區溢出漏洞，該漏洞源于程序未能正確地驗證用戶提交的數據。遠程攻擊者可通過發送惡意的HTTP請求利用該漏洞在底層操作系統上執行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-32613

4、SAP SQL Anywhere拒絕服務漏洞

SAP SQL Anywhere是德國思愛普(SAP)公司的一套SAP專用的關系型數據庫管理系統。SAP SQL Anywhere存在拒絕服務漏洞，經過身份驗證的攻擊者可利用該漏洞使服務器崩潰，從而阻止合法用戶訪問SQL Anywhere數據庫服務器。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41303

5、Apache DolphinScheduler SQL注入漏洞

Apache DolphinScheduler是美國阿帕奇(Apache)基金會開發的一個分布式去中心化，易擴展的可視化DAG工作流任務調度平臺。致力于解決數據處理流程中錯綜復雜的依賴關系，使調度系統在數據處理流程中開箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻擊者可利用該漏洞獲取和修改底層數據庫中的信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641

二、境內廠商產品漏洞

1、Delta Electronics CNCSoft堆棧緩沖區溢出漏洞

DeltaElectronics CNCSoft是中國Delta Electronics公司的一款數控機床仿真系統軟件。Delta Electronics CNCSoft存在安全漏洞，該漏洞是由于在處理特定項目文件時，受影響的產品未正確清理輸入，攻擊者可利用漏洞導堆棧緩沖區溢出情況。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-40317

2、D-Link DIR-825 G1訪問控制錯誤漏洞

DIR-825 G1是中國臺灣D-Link的一款路由器。D-Link DIR-825 G1 固件版本存在訪問控制錯誤漏洞，該漏洞源于身份驗證不足。攻擊者可利用該漏洞通過參數“autoupgrade.asp”繞過身份驗證，并在未經授權的情況下執行下載配置文件和更新固件等功能。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41784

3、Asus DSL-N14U-B1拒絕服務漏洞

ASUS DSL-N14U-B1是中國華碩(ASUS)公司的一款路由器設備。Asus DSL-N14U-B11.1.2.3_805版本存在拒絕服務漏洞。該漏洞源于未對輸入的錯誤消息做正確的處理，遠程攻擊者可利用該漏洞使用nmap之類的工具執行TCP SYN掃描造成拒絕服務 (DoS)。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41786

4、HUAWEI HarmonyOS授權問題漏洞(CNVD-2022-41788)

HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。HUAWEI HarmonyOS內核存在授權問題漏洞，該漏洞源于Property模塊權限控制不當。攻擊者可利用該漏洞獲取設備唯一標識。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41788

5、HUAWEI HarmonyOS拒絕服務漏洞(CNVD-2022-41787)

HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。HUAWEI HarmonyOS AI業務組件存在拒絕服務漏洞，該漏洞源于hiaiserver未對模型中的權重做嚴格的合法性校驗，攻擊者利用該漏洞將會導致AI服務出現異常，AI業務受到影響。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41787

說明：關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

來源：CNVD漏洞平臺