0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220808-20220814)


一、境外厂商产品漏洞


1、Online Ordering System SQL注入漏洞(CNVD-2022-55724)

Online Ordering System是一个多商店订购系统,可用于任何小型企业。Online Ordering System 1.0版本存在SQL注入漏洞,该漏洞源于store/orderpage.php页面缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55724


2、WordPress MailerLite plugin跨站脚本漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress MailerLite plugin 1.5.4之前版本存在跨站脚本漏洞,该漏洞源于在将参数输出回页面之前不会对其进行清理和转义。攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55699


3、WordPress Member Hero plugin代码注入漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。WordPress Member Hero plugin 1.0.9版本及之前版本存在代码注入漏洞,该漏洞源于不验证AJAX操作中的请求参数。攻击者可利用该漏洞调用不带参数的任意PHP函数。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55700


4、Cisco Catalyst 2940系列跨站脚本漏洞

Cisco Catalyst是美国思科(Cisco)公司的一系列交换机。Cisco Catalyst 2940系列存在跨站脚本漏洞,该漏洞源于未能正确地处理用户输入并生成错误页面,攻击者可利用该漏洞在使用该产品用户的网络浏览器上执行任意脚本。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-55665


5、Magnolia CMS跨站脚本漏洞

Magnolia CMS是瑞士Magnolia公司的一个应用程序,提供一个网站建设框架。Magnolia CMS 6.2.19版本存在跨站脚本漏洞,该漏洞源于程序缺少对用户提供的数据和输出的数据校验过滤。攻击者可利用该漏洞在客户端执行JavaScript代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56135


二、境内厂商产品漏洞


1、北京圣博润高新技术股份有限公司LanSecS第二代防火墙存在未授权访问漏洞

圣博润是一家工控安全厂商,专注于网络安全技术研究,产品研发和安全服务的高新技术企业。北京圣博润高新技术股份有限公司LanSecS第二代防火墙存在未授权访问漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-53650


2、Tenda M3 fromDhcpListClient函数堆栈溢出漏洞

Tenda M3是中国腾达(Tenda)公司的一款门禁控制器。Tenda M3 V1.0.0.12版本存在堆栈溢出漏洞,该漏洞源于fromDhcpListClient函数的 listN 参数对输入数据不检查其长度。攻击者可利用该漏洞导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56552


3、TOTOLINK T6 FUN_00412ef4函数堆栈溢出漏洞

TOTOLINK T6是中国吉翁电子(TOTOLINK)公司的一款无线双频路由器。TOTOLINK T6 V4.1.9cu.5179_B20201015版本存在堆栈溢出漏洞,该漏洞源于FUN_00412ef4函数中的 desc 参数对输入数据不检查其长度。远程攻击者可利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56563


4、Tenda M3 formSetCfm函数堆栈溢出漏洞

Tenda M3是中国腾达(Tenda)公司的一款门禁控制器。Tenda M3 V1.0.0.12版本存在堆栈溢出漏洞,该漏洞源于formSetCfm函数对输入数据不检查其长度。攻击者可利用该漏洞导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56551


5、Tenda M3 formSetAPCfg函数堆栈溢出漏洞

Tenda M3是中国腾达(Tenda)公司的一款门禁控制器。Tenda M3 V1.0.0.12版本存在堆栈溢出漏洞,该漏洞源于formSetAPCfg函数op参数对输入数据不检查其长度。攻击者可利用该漏洞导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56550


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号