0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220509-20220515)


一、境外厂商产品漏洞


1、Siemens JT2Go和Teamcenter Visualization双重释放漏洞(CNVD-2022-36381)

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36381


2、Dell Wyse Management Suite文件上传漏洞

Dell Wyse Management Suite是美国戴尔(DELL)公司的一套用于管理和优化Wyse端点的、可扩展的解决方案。该产品包括Wyse端点集中管理、资产追踪和自动设备发现等功能。Dell Wyse Management Suite存在安全漏洞,该漏洞源于不受限制的文件上传。具有管理员权限的攻击者可以利用此漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36037


3、Siemens JT2Go和Teamcenter Visualization文件解析漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2Go和Teamcenter Visualization存在安全漏洞,攻击者可利用该漏洞在当前进程的上下文中执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36380


4、IBM MQ Appliance拒绝服务漏洞(CNVD-2022-36974)

IBM MQ Appliance是美国IBM公司的一款用于快速部署企业级消息中间件的一体机设备。IBM MQ Appliance存在拒绝服务漏洞,攻击者可利用该漏洞通过应用程序登录组件进行拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36974


5、Dell Vnx2 Oe For File远程代码执行漏洞

Dell Vnx2 Oe For File是美国戴尔(Dell)公司的一个操作环境。Dell Vnx2 Oe For File存在安全漏洞,攻击者可利用漏洞在系统上执行命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36042


二、境内厂商产品漏洞


1、Delta Electronics DIAEnergie ReadRegIND SQL注入漏洞(CNVD-2022-36021)

Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie存在SQL注入漏洞,该漏洞源于ReadRegIND缺少对外部输入SQL语句的验证。攻击者可利用该漏洞注入任意 SQL 查询、检索和修改数据库内容以及执行系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36021


2、长沙德尚网络科技有限公司DSCMS存在任意文件删除漏洞

Dscms是一套基于Thinkphp3.1+Bootstrap的开源项目。长沙德尚网络科技有限公司DSCMS存在任意文件删除漏洞,攻击者可利用该漏洞删除任意文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-31128


3、EmpireCMS SQL注入漏洞

EmpireCMS(帝国内容管理系统)是一套开源内容管理系统(CMS)。EmpireCMS 7.5版本存在SQL注入漏洞,该漏洞源于在AdClass.php中缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36984


4、WUZHI CMS SQL注入漏洞(CNVD-2022-36985)

Wuzhi WUZHI CMS是五指(Wuzhi)公司的一套基于PHP和MySQL的开源内容管理系统(CMS)。WUZHI CMS 4.1.0版本存在SQL注入漏洞,该漏洞源于/coreframe/app/member/admin/group.php的groupid参数缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36985


5、Delta Electronics DIAEnergie SQL注入漏洞(CNVD-2022-36031)

Delta Electronics DIAEnergie是一个工业能源管理系统,用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。Delta ElectronicsDIAEnergie 1.8.02.004之前版本存在SQL注入漏洞,该漏洞源于 HandlerChart.ashx中存在盲SQ 注入。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-36031


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源: CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号