0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220620-20220626)


一、境外厂商产品漏洞


1、Google Android缓冲区溢出漏洞(CNVD-2022-46294)

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。Google Android存在缓冲区溢出漏洞,该漏洞源于在蓝牙中,缺少边界检查,攻击者可利用该漏洞导致本地权限升级。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46294


2、IBM Security Guardium弱加密算法漏洞(CNVD-2022-46309)

IBM Security Guardium是美国IBM公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Security Guardium存在弱加密算法漏洞,该漏洞源于IBM Security Guardium使用的加密算法比预期的要弱。攻击者可利用该漏洞解密敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46309


3、Microsoft DFSCoerce域控提权漏洞

Windows Server是微软在2003年4月24日推出的Windows的服务器操作系统,其核心是Microsoft Windows Server System(WSS)。Microsoft DFSCoerce存在域控提权漏洞,攻击者可利用漏洞通过向AD CS请求域控主机的证书,借助Kerberos的证书认证扩展实现域内提权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46482


4、Cisco Iox路径遍历漏洞

Cisco Iox是美国思科(Cisco)公司的一个结合了Cisco IOS和Linux OS用于安全网络连接以及开发IOT应用的安全开发环境。Cisco Iox存在路径遍历漏洞,攻击者可利用该漏洞通过使用API发送精心编制的命令请求来读取位于基础主机文件系统上的任何文件的内容。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46961


5、WordPress Advanced Contact form 7 DB跨站脚本漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress Advanced Contact form 7 DB 1.8.7及其之前版本存在跨站脚本漏洞,攻击者可利用该漏洞注入恶意的JavaScript程序,窃取其他用户cookie等。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-46769


二、境内厂商产品漏洞


1、四创科技有限公司建站系统存在SQL注入漏洞(CNVD-2022-41797)

四创科技有限公司是一家致力于中国防灾减灾事业,为政府提供防灾减灾信息化全面解决方案的公司。四创科技有限公司建站系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-41797


2、ZTE ZXMP M721权限和访问控制漏洞

ZTE ZXMP M721是中国中兴通讯(ZTE)公司的一款城域边缘OTN(光传送网)设备。ZTE ZXMP M721存在权限和访问控制漏洞,该漏洞源于sftp查看的文件夹权限为666,与实际权限不一致,攻击者可利用该漏洞获得更高的权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47340


3、Xiaomi Router AX6000信息泄露漏洞

Xiaomi Router AX6000是中国小米(Xiaomi)公司的一款路由器。Xiaomi Router AX6000 1.0.56之前存在信息泄露漏洞,该漏洞源于路由配置错误,攻击者可利用该漏洞下载小米Router AX6000中的部分文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47338


4、ZTE ZXCDN跨站脚本漏洞

ZTE ZXCDN是中国中兴(ZTE)公司的一款统一网络管理平台。ZTE ZXCDN存在跨站脚本漏洞。该漏洞源于程序缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47339


5、Xiaomi Router AX3600命令注入漏洞

Xiaomi router AX3600是中国Xiaomi公司的一款路由器。Xiaomi Router AX3600 1.1.15之前存在命令注入漏洞,该漏洞源于缺乏对传入数据的检查,攻击者可利用漏洞执行代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47337


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号