0371-60127539
400-6620-135

    您所在的位置: 首頁 > 安全研究 > 安全通告 > 上周關注度較高的產品安全漏洞

上周關注度較高的產品安全漏洞

(20220711-20220717)


一、境外廠商產品漏洞


1、WordPress Coming soon and Maintenance mode跨站請求偽造漏洞

WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是WordPress開源的一個應用插件。WordPress Coming soon and Maintenance mode存在跨站請求偽造漏洞,該漏洞源于插件未CSRF檢查,攻擊者可利用該漏洞通過CSRF攻擊將任意郵件發送給所有訂閱用戶。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51184


2、Fortinet FortiPortal安全特征問題漏洞

Fortinet FortiPortal是美國飛塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP產品線的高級、功能豐富的托管安全分析和管理支持工具,可作為虛擬機供MSP使用。Fortinet FortiPortal 6.0.6之前版本存在安全特征問題漏洞,該漏洞源于FortiPortal 的密碼重置功能中使用弱偽隨機數生成器,攻擊者可利用該漏洞在給定時間范圍內預測部分或全部新生成的密碼 。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955


3、SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞(CNVD-2022-50940)

SAP 3D Visual Enterprise Viewer是德國思愛普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業標準的桌面應用中發布2D、3D場景,并支持以獨立可執行程序和ActiveX空間單獨安裝。SAP 3D Visual Enterprise Viewer存在輸入驗證錯誤漏洞,攻擊者可利用該漏洞導致應用程序崩潰并且用戶暫時無法使用,直到重新啟動應用程序。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940


4、Apache NiFi命令注入漏洞

Apache NiFi是美國阿帕奇(Apache)基金會的一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。Apache NiFi Registry是其中的一個用于存儲和管理版本化流程的注冊表。Apache NiFi 1.10.0版本至1.16.2版本、Apache NiFi Registry 0.6.0版本至1.16.2版本存在命令注入漏洞。該漏洞源于用戶輸入構造執行命令過程中,網絡系統或產品未能正確過濾其中的特殊字符、命令等。攻擊者可利用該漏洞在Linux和macOS平臺上注入操作系統命令。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056


5、SAP PowerDesigner代碼問題漏洞

SAP PowerDesigner是德國思愛普(SAP)公司的一款數據庫設計軟件。SAP PowerDesigner Proxy 16.7版本存在代碼問題漏洞,攻擊者可利用該漏洞繞過系統的根磁盤訪問限制,在系統磁盤根路徑上寫入或創建程序文件,并提升應用程序的權限。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943


二、境內廠商產品漏洞


1、禾匠榜店商城系統存在命令執行漏洞

浙江禾匠信息科技有限公司是一家專業從事移動互聯網技術開發的科技型公司。禾匠榜店商城系統存在命令執行漏洞,攻擊者可利用該漏洞獲取服務器控制權。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51194


2、易勤WEB考勤管理軟件存在SQL注入漏洞

易勤WEB考勤管理軟件是一款網絡版B/S架構WEB考勤管理軟件。易勤WEB考勤管理軟件存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48623


3、D-Link DIR-890L存在二進制漏洞

D-Link DIR-890L是一款無線路由器。D-Link DIR-890L存在二進制漏洞,攻擊者可利用該漏洞獲取服務器控制權 。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51196


4、北京寶蘭德軟件股份有限公司BES管理控制臺存在未授權訪問漏洞

北京寶蘭德軟件股份有限公司是一家專注于基礎軟件研發及推廣的高新技術軟件企業。北京寶蘭德軟件股份有限公司BES管理控制臺存在未授權訪問漏洞,攻擊者可利用該漏洞獲取敏感信息。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48616


5、Robustel R1510操作系統命令注入漏洞(CNVD-2022-51425)

Robustel R1510是中國Robustel公司的一款工業VPN路由器。Robustel R1510存在操作系統命令注入漏洞,該漏洞源于特制的網絡數據包可在`/ajax/set_sys_time/`API中受到命令注入漏洞的影響,攻擊者可利用該漏洞導致任意命令執行。

參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51425


說明:關注度分析由CNVD秘書處根據互聯網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。

來源:國家信息安全漏洞共享平臺

敬請關注

金瀚信安公眾號

為國家關鍵信息基礎設施安全保駕護航!
          

客服:+86-400-6620-135

成員企業:金瀚信安(北京)科技有限公司
Copyright © 鄭州金瀚信息安全技術有限公司 All Right Reserved 豫公網安備 41010202002856號 豫ICP備16013292-2號
国产精品三级在线专区