上周关注度较高的产品安全漏洞(20220228-20220306)
一、境外厂商产品漏洞
1、Samba权限许可和访问控制问题漏洞
Samba是用于Linux和Unix的标准Windows互操作性程序套件。Samba存在权限许可和访问控制问题漏洞,攻击者可利用此漏洞导致权限升级。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15502
2、Airspan Networks Mmp操作系统命令注入漏洞
Airspan Networks Mmp是美国Airspan Networks公司的一个用于Mimosa固定无线设备的高级独立网络管理软件平台。Airspan Networks Mmp存在操作系统命令注入漏洞,攻击者可利用该漏洞注入任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16295
3、Samba权限许可和访问控制问题漏洞(CNVD-2022-15501)
Samba是用于Linux和Unix的标准Windows互操作性程序套件。Samba存在权限许可和访问控制问题漏洞,该漏洞源于在作为 Active Directory域控制器的samba能够支持RODC(只读域控制器)的方式中发现了一个缺陷。攻击者可利用漏洞允许RODC打印管理员票证。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15501
4、IBM VIOS输入验证错误漏洞(CNVD-2022-15531)
IBM AIX是美国IBM公司的一款为IBM Power 体系架构开发的一种基于开放标准的UNIX 操作系统。IBM VIOS存在输入验证错误漏洞,该漏洞源于在AIX内核中未能对用户提供的输入进行充分的验证。攻击者可利用该漏洞来执行拒绝服务(DoS)攻击。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15531
5、Adobe Illustrator越界读取漏洞(CNVD-2022-15934)
Adobe Illustrator是美国奥多比(Adobe)公司的一套基于向量的图像制作软件。Adobe Illustrator存在安全漏洞,该漏洞源于产品未对数据添加有效的保护措施。远程攻击者可利用该漏洞访问敏感信息。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15934
二、境内厂商产品漏洞
1、D-Link DIR-882命令注入漏洞
D-LinkDIR-882是中国友讯(D-Link)公司的一款千兆企业级路由器。D-Link DIR-882存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的HNAP1 POST请求执行任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15189
2、四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞(CNVD-2022-10314)
四创科技有限公司是中国减灾兴利信息服务提供商。四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10314
3、TOTOLink多款路由器认证绕过漏洞
TOTOLink 是亚太区中高端无线路由的一个品牌。TOTOLink多款路由器认证绕过漏洞,攻击者可利用该漏洞以root权限在⽬标设备执⾏任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16181
4、D-Link Dir-823-Pro命令注入漏洞(CNVD-2022-15175)
D-Link Dir-823-Pro是中国友讯(D-Link)公司的一款双频智能无线路由器。D-Link DIR-823-Pro v1.0.2存在命令注入漏洞,攻击者可利用该漏洞通过samba_name参数执行任意命令。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15175
5、四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞(CNVD-2022-13862)
四创科技有限公司是中国减灾兴利信息服务提供商。四创科技有限公司山洪灾害监测预警平台存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。
参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13862
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
文章来源:CNVD漏洞平台
