(20220523-20220529)

一、境外厂商产品漏洞

1、TRENDnet TI-PG1284i空指针取消引用漏洞

TRENDnet TI-PG Series是美国趋势网络(TRENDnet)公司的一系列交换机。TRENDnet TI-PG1284i2.0.2.S0之前版本存在安全漏洞，攻击者可利用该漏洞通过向设备发送精心制作的lldp数据包而使进程崩溃。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-40315

2、Apache DolphinScheduler SQL注入漏洞

Apache DolphinScheduler是美国阿帕奇(Apache)基金会开发的一个分布式去中心化，易扩展的可视化DAG工作流任务调度平台。致力于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻击者可利用该漏洞获取和修改底层数据库中的信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641

3、多款Cisco产品缓冲区溢出漏洞(CNVD-2022-32613)

Cisco RV110W Wireless-N VPN Firewall等都是美国思科(Cisco)公司的一款企业级路由器。Cisco RV110W Wireless-NVPN Firewall、RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN Router中基于Web的管理界面存在缓冲区溢出漏洞，该漏洞源于程序未能正确地验证用户提交的数据。远程攻击者可通过发送恶意的HTTP请求利用该漏洞在底层操作系统上执行任意代码。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-32613

4、SAP SQL Anywhere拒绝服务漏洞

SAP SQL Anywhere是德国思爱普(SAP)公司的一套SAP专用的关系型数据库管理系统。SAP SQL Anywhere存在拒绝服务漏洞，经过身份验证的攻击者可利用该漏洞使服务器崩溃，从而阻止合法用户访问SQL Anywhere数据库服务器。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41303

5、Apache DolphinScheduler SQL注入漏洞

Apache DolphinScheduler是美国阿帕奇(Apache)基金会开发的一个分布式去中心化，易扩展的可视化DAG工作流任务调度平台。致力于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。Apache DolphinScheduler1.3.6之前的版本存在SQL注入漏洞。攻击者可利用该漏洞获取和修改底层数据库中的信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41641

二、境内厂商产品漏洞

1、Delta Electronics CNCSoft堆栈缓冲区溢出漏洞

DeltaElectronics CNCSoft是中国Delta Electronics公司的一款数控机床仿真系统软件。Delta Electronics CNCSoft存在安全漏洞，该漏洞是由于在处理特定项目文件时，受影响的产品未正确清理输入，攻击者可利用漏洞导堆栈缓冲区溢出情况。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-40317

2、D-Link DIR-825 G1访问控制错误漏洞

DIR-825 G1是中国台湾D-Link的一款路由器。D-Link DIR-825 G1 固件版本存在访问控制错误漏洞，该漏洞源于身份验证不足。攻击者可利用该漏洞通过参数“autoupgrade.asp”绕过身份验证，并在未经授权的情况下执行下载配置文件和更新固件等功能。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41784

3、Asus DSL-N14U-B1拒绝服务漏洞

ASUS DSL-N14U-B1是中国华硕(ASUS)公司的一款路由器设备。Asus DSL-N14U-B11.1.2.3_805版本存在拒绝服务漏洞。该漏洞源于未对输入的错误消息做正确的处理，远程攻击者可利用该漏洞使用nmap之类的工具执行TCP SYN扫描造成拒绝服务 (DoS)。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41786

4、HUAWEI HarmonyOS授权问题漏洞(CNVD-2022-41788)

HUAWEI HarmonyOS是中国华为(HUAWEI)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。HUAWEI HarmonyOS内核存在授权问题漏洞，该漏洞源于Property模块权限控制不当。攻击者可利用该漏洞获取设备唯一标识。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41788

5、HUAWEI HarmonyOS拒绝服务漏洞(CNVD-2022-41787)

HUAWEI HarmonyOS是中国华为(HUAWEI)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。HUAWEI HarmonyOS AI业务组件存在拒绝服务漏洞，该漏洞源于hiaiserver未对模型中的权重做严格的合法性校验，攻击者利用该漏洞将会导致AI服务出现异常，AI业务受到影响。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-41787

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源：CNVD漏洞平台