0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220801-20220807)


一、境外厂商产品漏洞


1、Pexip Infinity输入验证错误漏洞(CNVD-2022-54746)

Pexip Infinity(派视普视频会议云协作平台)是挪威派世(Pexip)公司的一款视频会议云协作平台。该产品可提供高质量安全的云会议功能。Pexip Infinity存在输入验证错误漏洞,攻击者可利用该漏洞触发软件中止,从而导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54746


2、Aruba ClearPass Policy Manager远程命令注入漏洞(CNVD-2022-55527)

Aruba ClearPass Policy Manager是美国Aruba公司的一个应用系统提供无线网络安全接入管理系统。Aruba ClearPass Policy Manager 6.10.4及之前版本、6.9.9及之前版本和6.8.9-HF2及之前版本的web管理界面存在远程命令注入漏洞,经过身份验证的远程攻击者利用该漏洞在底层主机上运行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55527


3、VMware vCenter Server信息泄露漏洞(CNVD-2022-55066)

VMware vCenter Server是美国威睿(Vmware)公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台,可自动实施和交付虚拟基础架构。VMware vCenter Server 存在信息泄露漏洞,具有非管理访问权限的攻击者可利用该漏洞来获取对敏感信息的访问权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55066


4、Google Android安全绕过漏洞(CNVD-2022-54478)

Google Android是美国谷歌(Google)公司的一套以Linux为基础的开源操作系统。Google Android存在安全漏洞,攻击者可利用该漏洞绕过身份验证并获得访问权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54478


5、Cisco Nexus Dashboard权限提升漏洞

Cisco Nexus Dashboard是美国思科(Cisco)公司的一个单一控制台。能够简化数据中心网络的运营和管理。Cisco Nexus Dashboard存在权限提升漏洞,该漏洞源于在受影响设备上执行CLI命令期间输入验证不足。攻击者可利用该漏洞导致提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54959


二、境内厂商产品漏洞


1、华天动力OA系统任意文件上传漏洞

华天动力OA系统是由大连华天软件有限公司开发的协同办公软件。华天动力OA系统存在任意文件上传漏洞,攻击者可利用该漏洞上传任意文件到服务器。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54886


2、Totolink A3600R缓冲区溢出漏洞

TotoLink A3600R是中国台湾吉翁电子(TotoLink)公司的一款6天线1200M无线路由器。Totolink A3600R V4.1.2cu.5182_B20201102版本存在缓冲区溢出漏洞,该漏洞源于在infostat.cgi的fread函数中包含堆栈器溢出,攻击者可利用该漏洞通过参数CONTENT_LENGTH导致拒绝服务 (DoS)。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54650


3、WAVLINK WN579 X3 messages.txt访问控制错误漏洞

WAVLINK WN579 X3是中国睿因科技(WAVLINK)公司的一款无线路由器。WAVLINK WN579 X3 M79X3.V5030.191012版本存在访问控制错误漏洞。该漏洞源于messages.txt文件未能设置合理的访问权限,攻击者可利用该漏洞通过访问messages.txt获取关键信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54900


4、TotoLink A3100R命令注入漏洞(CNVD-2022-54652)

TotoLink A3100R是中国台湾吉翁电子(TotoLink)公司的一系列无线路由器。TotoLink A3100R V4.1.2cu.5050_B20200504版本和V4.1.2cu.5247_B20211129版本存在命令注入漏洞,该漏洞源于uci_cloudupdate_config函数中的magicid参数未能正确过滤构造命令特殊字符、命令等,攻击者可利用该漏洞导致任意命令执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-54652


5、TotoLink A3100R操作系统命令注入漏洞

TotoLink A3100R是中国台湾吉翁电子(TotoLink)公司的一系列无线路由器。TotoLink A3100R V5.9c.4577版本存在操作系统命令注入漏洞,该漏洞源于输入的字段未经过正确的过滤,攻击者可利用该漏洞导致命令注入攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55137


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号