0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20220829-20220904)


一、境外厂商产品漏洞


1、Microsoft .NET Framework拒绝服务漏洞(CNVD-2022-60136)

Microsoft .NET Framework是美国微软(Microsoft)公司的一种全面且一致的编程模型,也是一个用于构建Windows、Windows Store、Windows Phone、Windows Server和Microsoft Azure的应用程序的开发平台。该平台包括C#和Visual Basic编程语言、公共语言运行库和广泛的类库。Microsoft .NET Framework存在拒绝服务漏洞。该漏洞源于未对输入的错误消息做正确的处理,攻击者可利用此漏洞造成拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60136


2、FFmpeg shorten_decode_frame()函数拒绝服务漏洞

FFmpeg是Ffmpeg团队的一套可录制、转换以及流化音视频的完整解决方案。FFmpeg shorten_decode_frame()函数存在拒绝服务漏洞,攻击者可利用该漏洞导致拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60139


3、Telesquare TLR-2005Ksh任意文件删除漏洞

Telesquare Tlr-2005Ksh是韩国Telesquare公司的一款Sk电讯Lte路由器。Telesquare TLR-2005Ksh 1.0.0版本存在任意文件删除漏洞,该漏洞源于不当的访问控制。远程攻击者可利用此漏洞通过DELETE请求删除任何文件,甚至是系统内部文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61620


4、Microsoft Visual Studio远程代码执行漏洞(CNVD-2022-60134)

Microsoft Visual Studio是美国微软(Microsoft)公司的一款开发工具套件系列产品,也是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具。Microsoft Visual Studio存在远程代码执行漏洞,该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未能正确过滤其中的特殊元素。攻击者可利用该漏洞在系统上执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60134


5、Microsoft Edge (Chromium-based) 权限提升漏洞

Microsoft Edge是一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge (Chromium-based) 存在权限提升漏洞。攻击者可利用该漏洞以更高的权限执行任意代码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60131


二、境内厂商产品漏洞


1、北京七陌科技有限公司智能客服系统存在信息泄露漏洞

北京七陌科技有限公司是一家以AI和通讯技术为核心、数据为驱动的科技型公司。北京七陌科技有限公司智能客服系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57479


2、上海泛微网络科技股份有限公司泛微E-Weaver存在任意文件下载漏洞

E-Weaver是泛微协同管理平台。上海泛微网络科技股份有限公司泛微E-Weaver存在任意文件下载漏洞,攻击者可利用漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-57541


3、上海商汤智能科技有限公司SenseLink智能物联平台存在弱口令漏洞

上海商汤智能科技有限公司,目前业务涵盖智慧商业、智慧城市、智慧生活、智能汽车四大板块。上海商汤智能科技有限公司SenseLink智能物联平台存在弱口令漏洞,攻击者利用该漏洞登录系统后台,获取敏感信息 。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-56013


4、WAVLINK WN535 G3信息泄露漏洞

WAVLINK WN535 G3是中国WAVLINK公司的一个无线路由器。WAVLINK WN535 G3 M35G3R.V5030.180927版本存在信息泄露漏洞,该漏洞源于live_mfg.shtml页面存在不当的授权管理,攻击者可利用该漏洞获取敏感的路由器信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-61035


5、H3C SSL VPN跨站脚本漏洞

H3C SSL VPN是中国新华三(H3C)公司的安全会话层VPN。H3C SSL VPN 2022-07-10及以前版本存在跨站脚本漏洞,远程攻击者可利用该漏洞允许wnm/login/login.json svpnlang跨站脚本攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-60660


说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号