0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220711-20220717)


一、境外厂商产品漏洞


1、WordPress Coming soon and Maintenance mode跨站请求伪造漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress开源的一个应用插件。WordPress Coming soon and Maintenance mode存在跨站请求伪造漏洞,该漏洞源于插件未CSRF检查,攻击者可利用该漏洞通过CSRF攻击将任意邮件发送给所有订阅用户。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51184


2、Fortinet FortiPortal安全特征问题漏洞

Fortinet FortiPortal是美国飞塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP产品线的高级、功能丰富的托管安全分析和管理支持工具,可作为虚拟机供MSP使用。Fortinet FortiPortal 6.0.6之前版本存在安全特征问题漏洞,该漏洞源于FortiPortal 的密码重置功能中使用弱伪随机数生成器,攻击者可利用该漏洞在给定时间范围内预测部分或全部新生成的密码 。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955


3、SAP 3D Visual Enterprise Viewer输入验证错误漏洞(CNVD-2022-50940)

SAP 3D Visual Enterprise Viewer是德国思爱普(SAP)公司的一款3D视图查看器。该软件支持在所有行业标准的桌面应用中发布2D、3D场景,并支持以独立可执行程序和ActiveX空间单独安装。SAP 3D Visual Enterprise Viewer存在输入验证错误漏洞,攻击者可利用该漏洞导致应用程序崩溃并且用户暂时无法使用,直到重新启动应用程序。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940


4、Apache NiFi命令注入漏洞

Apache NiFi是美国阿帕奇(Apache)基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。Apache NiFi Registry是其中的一个用于存储和管理版本化流程的注册表。Apache NiFi 1.10.0版本至1.16.2版本、Apache NiFi Registry 0.6.0版本至1.16.2版本存在命令注入漏洞。该漏洞源于用户输入构造执行命令过程中,网络系统或产品未能正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞在Linux和macOS平台上注入操作系统命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056


5、SAP PowerDesigner代码问题漏洞

SAP PowerDesigner是德国思爱普(SAP)公司的一款数据库设计软件。SAP PowerDesigner Proxy 16.7版本存在代码问题漏洞,攻击者可利用该漏洞绕过系统的根磁盘访问限制,在系统磁盘根路径上写入或创建程序文件,并提升应用程序的权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943


二、境内厂商产品漏洞


1、禾匠榜店商城系统存在命令执行漏洞

浙江禾匠信息科技有限公司是一家专业从事移动互联网技术开发的科技型公司。禾匠榜店商城系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51194


2、易勤WEB考勤管理软件存在SQL注入漏洞

易勤WEB考勤管理软件是一款网络版B/S架构WEB考勤管理软件。易勤WEB考勤管理软件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48623


3、D-Link DIR-890L存在二进制漏洞

D-Link DIR-890L是一款无线路由器。D-Link DIR-890L存在二进制漏洞,攻击者可利用该漏洞获取服务器控制权 。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51196


4、北京宝兰德软件股份有限公司BES管理控制台存在未授权访问漏洞

北京宝兰德软件股份有限公司是一家专注于基础软件研发及推广的高新技术软件企业。北京宝兰德软件股份有限公司BES管理控制台存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48616


5、Robustel R1510操作系统命令注入漏洞(CNVD-2022-51425)

Robustel R1510是中国Robustel公司的一款工业VPN路由器。Robustel R1510存在操作系统命令注入漏洞,该漏洞源于特制的网络数据包可在`/ajax/set_sys_time/`API中受到命令注入漏洞的影响,攻击者可利用该漏洞导致任意命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51425


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:国家信息安全漏洞共享平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号