0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220704-20220710)


一、境外厂商产品漏洞


1、IBM App Connect Enterprise Certified Container拒绝服务漏洞

IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合,提供一个可满足现代数字企业全面集成需求的平台。IBM App Connect Enterprise Certified Container存在拒绝服务漏洞,该漏洞源于仪表板界面速率限制过高,攻击者可利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938


2、IBM Security Verify Access输入验证错误漏洞

IBM Security Verify Access(ISAM)是美国IBM公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM Security Verify Access存在输入验证错误漏洞,该漏洞源于JWT令牌验证错误,攻击者可利用该漏洞获取敏感信息或可能更改某些信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939


3、IBM Sterling Partner Engagement Manager信息泄露漏洞

IBM Sterling Partner Engagement Manager是美国IBM公司的一个自动化管理工具。IBM Sterling Partner Engagement Manager 6.2.0 版本存在信息泄露漏洞,经过身份验证的远程攻击者可利用该漏洞获取敏感信息或修改用户详细信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937


4、Apache Commons远程代码执行漏洞

Apache Commons是Apache软件基金会的项目。Apache Commons存在远程代码执行漏洞,攻击者可利用该漏洞通过注入攻击执行恶意代码、向网站写webshell、控制整个网站甚至服务器。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49973


5、IBM UrbanCode Deploy加密问题漏洞

IBM UrbanCode Deploy(UCD)是美国IBM公司的一套应用自动化部署工具。该工具基于一个应用部署自动化管理信息模型,并通过远程代理技术,实现对复杂应用在不同环境下的自动化部署等。IBM UrbanCode Deploy存在加密问题漏洞,该漏洞源于软件使用的加密算法比预期的要弱,攻击者可利用该漏洞解密高度敏感的信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48934


二、境内厂商产品漏洞


1、网御星云网页防篡改系统存在弱口令漏洞

北京网御星云信息技术公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及安全专业服务。网御星云网页防篡改系统存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47241


2、北京网御星云信息技术有限公司网页防篡改系统存在逻辑缺陷漏洞

北京网御星云信息技术公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及安全专业服务。北京网御星云信息技术有限公司网页防篡改系统存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47237


3、HUAWEI HarmonyOS信息泄露漏洞(CNVD-2022-50634)

HUAWEI HarmonyOS是中国华为(HUAWEI)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。HUAWEI HarmonyOS安全组件存在安全漏洞,该漏洞源于芯片组件存在序列号被获取的漏洞,攻击者利用该漏洞可导致机密性受影响。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50634


4、TP-LINK TL-WR840N访问控制错误漏洞

TP-LINK TL-WR840N是中国普联(TP-LINK)公司的一款无线路由器。TP-Link TL-WR840N EU v6.20版本存在访问控制错误漏洞,该漏洞源于UART控制台不安全,攻击者可利用该漏洞以root用户的身份执行命令而无需身份验证。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50633


5、TP-LINK TL-WR840N缓冲区溢出漏洞

TP-LINK TL-WR840N是一款 无线路由器。TP-LINK TL-WR840N被发现包含通过DNS服务器参数溢出的缓冲区溢出。攻击者可利用该漏洞导致程序运行失败、系统宕机、重新启动等后果。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50635


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号