0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220418-20220424)


一、境外厂商产品漏洞


1、Zoho ManageEngine ADAudit Plus远程代码执行漏洞

Zoho ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。Zoho ManageEngine ADAudit Plus7060之前版本存在远程代码执行漏洞,未经身份验证的攻击者可利用该漏洞进行远程代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-29866


2、Bentley MicroStation CONNECT越界读取漏洞

Bentley MicroStation CONNECT是美国Bentley Systems公司的一个用于二维和三维设计和绘图的Cad软件平台。Bentley MicroStation CONNECT 10.16.0.80在解析DGN文件时存在越界读取漏洞,远程攻击者可利用该漏洞导致读取超出分配的缓冲区的末尾,在当前进程的上下文中执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30764


3、WordPress Simple Ajax Chat plugin跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Simple Ajax Chat plugin 20220115版本及之前版本存在跨站脚本漏洞,该漏洞源于程序缺少对用户提供的数据和输出的数据校验过滤,攻击者可利用该漏洞注入JavaScript并执行存储的XSS攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30453


4、Snapt Aria命令注入漏洞

Snapt Aria是美国Snapt公司的一个面向企业的ADC解决方案,提供负载均衡器、Web加速器、Web应用防火墙 (WAF)、全局服务器负载均衡器 (GSLB) 等。Snapt Aria v12.8的snaptPowered2组件存在命令注入漏洞,经过身份验证的攻击者可利用该漏洞执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30445


5、radare2资源管理错误漏洞(CNVD-2022-30437)

radare2是一套用于处理二进制文件的库和工具。radare2存在资源管理错误漏洞,攻击者可利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30437


二、境内厂商产品漏洞


1、四创科技有限公司建站系统存在SQL注入漏洞(CNVD-2022-25679)

四创科技有限公司是一家致力于中国防灾减灾事业,为政府提供防灾减灾信息化全面解决方案的公司。四创科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25679


2、TOTOLINK N600R路由器存在命令执行漏洞

TOTOLINK N600R是一款无线路由器。TOTOLINK N600R路由器存在命令执行漏洞,攻击者可利用该漏洞实现任意命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25677


3、BossCMS存在任意文件上传漏洞(CNVD-2022-25692)

BossCMS是一款安全、稳定、好用、永久免费开源、自主研发PHP框架的企业建站系统。BossCMS存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-25692


4、zbzcms任意文件上传漏洞

zbzcms(站帮主CMS)是中国站帮主CMS(zbzcms)公司的一个内容管理网站。zbzcms 1.0版本存在任意文件上传漏洞,攻击者可利用该漏洞通过特制的PHP文件执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30435


5、Maccms任意文件删除漏洞

Maccms是一套基于PHP的影视内容管理系统(CMS)。Maccms在10版本中存在任意文件删除漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证,攻击者可利用该漏洞删除服务上的任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-30797


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号