(20220613-20220619)

一、境外厂商产品漏洞

1、WordPress UpdraftPlus WordPress Backup plugin跨站脚本漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress UpdraftPlus WordPress Backup plugin存在跨站脚本漏洞，攻击者可利用该漏洞注入JavaScript并执行存储的XSS攻击。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-44958

2、IGSS (Interactive Graphical SCADA System) 存在二进制漏洞

IGSS (Interactive Graphical SCADA System) 是施耐德公司旗下的一款工业控制SCADA系统，被用在电力 、污水处理、制造等多个领域。IGSS (Interactive Graphical SCADA System) 存在二进制漏洞，攻击者可利用该漏洞造成拒绝服务攻击。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-38333

3、SIEMENS SCALANCE XM-400和XR-500 OSPF数据包处理漏洞

SCALANCE X交换机用于连接工业组件，例如可编程逻辑控制器 (PLC) 或人机界面 (HMI)。SIEMENS SCALANCE XM-400和XR-500存在OSPF数据包处理漏洞，该漏洞源于设备中的OSPF协议实施未验证OSPF LS更新消息中的校验和和长度字段，攻击者可利用该漏洞通过发送特制的OSPF数据包来导致网络中断。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-45235

4、Google Chrome资源管理错误漏洞(CNVD-2022-44720)

Google Chrome是美国谷歌(Google)公司的一款Web浏览器。Google Chrome存在资源管理错误漏洞，远程攻击者可利用该漏洞通过破坏配置文件来潜在地利用堆损坏。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-44720

5、Siemens Xpedition Designer本地权限提升漏洞

Xpedition Enterprise是一款PCB设计流程，提供从系统设计定义到制造执行的集成。Siemens Xpedition Designer存在本地权限提升漏洞，该漏洞源于受影响的应用程序向服务可执行文件分配了错误的访问权限，攻击者可利用该漏洞注入任意代码并提升权限。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-45209

二、境内厂商产品漏洞

1、禅道存在SQL注入漏洞

禅道是一款国产的开源项目管理软件。禅道存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-42853

2、CSCMS Music Portal System SQL注入漏洞(CNVD-2022-45402)

CSCMS Music Portal System是中国崇胜网络科技(CSCMS)公司的一个多元化内容管理系统。CSCMS Music Portal System存在SQL注入漏洞，该漏洞源于/admin.php/user/level_del中的id参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-45402

3、CSCMS Music Portal System SQL注入漏洞

CSCMS Music Portal System是中国崇胜网络科技(CSCMS)公司的一个多元化内容管理系统。CSCMS Music Portal System存在SQL注入漏洞，该漏洞源于/admin.php/vod/admin/topic/del中的id参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-45395

4、D-Link DIR-816 A2命令注入漏洞(CNVD-2022-45933)

D-Link DIR-816 A2是中国台湾友讯(D-Link)公司的一款无线路由器。D-Link DIR-816 A2存在命令注入漏洞，该漏洞源于/goform/setSysAdm中的admuser和admpass参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞通过精心设计的负载将权限提升到root。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-45933

5、Tenda HG6命令注入漏洞

Tenda HG6是中国腾达(Tenda)公司的智能路由无源光网络终端。Tenda HG6存在命令注入漏洞，该漏洞源于pingAddr 和 traceAddr参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。

参考链接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-46164

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源：国家信息安全漏洞共享平台