0371-60127539
400-6620-135

    您所在的位置: 首頁 > 安全研究 > 安全通告 > 上周關注度較高的產品安全漏洞

上周關注度較高的產品安全漏洞

(20220620-20220626)


一、境外廠商產品漏洞


1、Google Android緩沖區溢出漏洞(CNVD-2022-46294)

Google Android是美國谷歌(Google)公司的的一套以Linux為基礎的開源操作系統。Google Android存在緩沖區溢出漏洞,該漏洞源于在藍牙中,缺少邊界檢查,攻擊者可利用該漏洞導致本地權限升級。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294


2、IBM Security Guardium弱加密算法漏洞(CNVD-2022-46309)

IBM Security Guardium是美國IBM公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。IBM Security Guardium存在弱加密算法漏洞,該漏洞源于IBM Security Guardium使用的加密算法比預期的要弱。攻擊者可利用該漏洞解密敏感信息。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46309


3、Microsoft DFSCoerce域控提權漏洞

Windows Server是微軟在2003年4月24日推出的Windows的服務器操作系統,其核心是Microsoft Windows Server System(WSS)。Microsoft DFSCoerce存在域控提權漏洞,攻擊者可利用漏洞通過向AD CS請求域控主機的證書,借助Kerberos的證書認證擴展實現域內提權。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46482


4、Cisco Iox路徑遍歷漏洞

Cisco Iox是美國思科(Cisco)公司的一個結合了Cisco IOS和Linux OS用于安全網絡連接以及開發IOT應用的安全開發環境。Cisco Iox存在路徑遍歷漏洞,攻擊者可利用該漏洞通過使用API發送精心編制的命令請求來讀取位于基礎主機文件系統上的任何文件的內容。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961


5、WordPress Advanced Contact form 7 DB跨站腳本漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress Advanced Contact form 7 DB 1.8.7及其之前版本存在跨站腳本漏洞,攻擊者可利用該漏洞注入惡意的JavaScript程序,竊取其他用戶cookie等。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46769


二、境內廠商產品漏洞


1、四創科技有限公司建站系統存在SQL注入漏洞(CNVD-2022-41797)

四創科技有限公司是一家致力于中國防災減災事業,為政府提供防災減災信息化全面解決方案的公司。四創科技有限公司建站系統存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41797


2、ZTE ZXMP M721權限和訪問控制漏洞

ZTE ZXMP M721是中國中興通訊(ZTE)公司的一款城域邊緣OTN(光傳送網)設備。ZTE ZXMP M721存在權限和訪問控制漏洞,該漏洞源于sftp查看的文件夾權限為666,與實際權限不一致,攻擊者可利用該漏洞獲得更高的權限。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47340


3、Xiaomi Router AX6000信息泄露漏洞

Xiaomi Router AX6000是中國小米(Xiaomi)公司的一款路由器。Xiaomi Router AX6000 1.0.56之前存在信息泄露漏洞,該漏洞源于路由配置錯誤,攻擊者可利用該漏洞下載小米Router AX6000中的部分文件。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47338


4、ZTE ZXCDN跨站腳本漏洞

ZTE ZXCDN是中國中興(ZTE)公司的一款統一網絡管理平臺。ZTE ZXCDN存在跨站腳本漏洞。該漏洞源于程序缺少對用戶提供的數據和輸出的數據校驗過濾。攻擊者可利用該漏洞在客戶端執行JavaScript代碼。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47339


5、Xiaomi Router AX3600命令注入漏洞

Xiaomi router AX3600是中國Xiaomi公司的一款路由器。Xiaomi Router AX3600 1.1.15之前存在命令注入漏洞,該漏洞源于缺乏對傳入數據的檢查,攻擊者可利用漏洞執行代碼。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47337


說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

來源:CNVD

敬請關注

金瀚信安公眾號

為國家關鍵信息基礎設施安全保駕護航!
          

客服:+86-400-6620-135

成員企業:金瀚信安(北京)科技有限公司
Copyright © 鄭州金瀚信息安全技術有限公司 All Right Reserved 豫公網安備 41010202002856號 豫ICP備16013292-2號
国产精品三级在线专区