0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220627-20220703)


一、境外厂商产品漏洞


1、Fortinet FortiWAN操作系统命令注入漏洞

Fortinet FortiWan是美国Fortinet公司的一个网络设备。用于在不同网络之间执行负载平衡和容错。Fortinet FortiWAN 4.5.9之前版本存在操作系统命令注入漏洞。攻击者可利用该漏洞通过特制的HTTP请求在底层系统的shell上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47983


2、Apache Shiro身份认证绕过漏洞(CNVD-2022-48384)

Apache Shiro是美国阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。Apache Shiro存在身份认证绕过漏洞,该漏洞是由于当Apache Shiro中使用 RegexRequestMatcher方式进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可利用漏洞通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48384


3、Fortinet多款产品操作系统命令注入漏洞

Fortinet FortiManager等都是美国飞塔(Fortinet)公司的产品。Fortinet FortiManager是一套集中化网络安全管理平台。Fortinet FortiAnalyzer是一套集中式网络安全报告解决方案。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP产品线的高级、功能丰富的托管安全分析和管理支持工具,可作为虚拟机供MSP使用。Fortinet多款产品存在操作系统命令注入漏洞,本地经过身份验证的攻击者可利用该漏洞通过特制的CLI命令参数以root身份执行任意shell命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47985


4、Google Android权限提升漏洞(CNVD-2022-47680)

Google Android是美国谷歌(Google)公司的的一套以Linux为基础的开源操作系统。Google Android中存在权限提升漏洞,该漏洞源于缺少权限检查,可能会出现被视为故障的CPU行为,攻击者可利用该漏洞提升本地权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47680


5、WordPress JupiterX Core plugin访问控制错误漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress JupiterX Core plugin存在访问控制错误漏洞,攻击者可利用该漏洞查看站点配置和登录用户、修改发布条件或执行拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48383


二、境内厂商产品漏洞


1、泛微OA存在SQL注入漏洞(CNVD-2022-43843)

泛微OA是一款移动办公平台。泛微OA存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43843


2、多款TotoLink产品命令注入漏洞(CNVD-2022-47972)

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等产品都是中国Totolink公司的一个路由器。多款TotoLink产品存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47972


3、南京中卫信软件科技股份有限公司体检档案管理系统存在SQL注入漏洞

南京中卫信软件科技股份有限公司是一家依靠自主研发和技术创新形成的核心技术开展生产经营的国家高新技术企业。南京中卫信软件科技股份有限公司体检档案管理系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44332


4、多款TotoLink产品命令注入漏洞(CNVD-2022-47973)

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等产品都是中国Totolink公司的一个路由器。多款TotoLink产品存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47973


5、多款TP-Link无线扩展器远程命令执行漏洞

TP-Link WA850RE等都是TP-Link旗下的无线扩展器。多款无线扩展器存在远程命令执行漏洞,攻击者可利用漏洞未授权远程命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48385


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号