0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20221114-20221120)


一、境外厂商产品漏洞


1、IBM InfoSphere Information Server拒绝服务漏洞

IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information Server 11.7版本存在拒绝服务漏洞,该漏洞源于输入验证错误。攻击者可利用该漏洞导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77508


2、IBM InfoSphere Information Server XML外部实体注入(XXE)漏洞

IBM InfoSphere Information Server是美国国际商业机器(IBM)公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information Server 11.7版本存在XML外部实体注入(XXE)漏洞,该漏洞源于在处理XML数据时容易受到XML外部实体注入(XXE)攻击。远程攻击者可利用该漏洞暴露敏感信息或消耗内存资源。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77516


3、IBM InfoSphere Information Server跨站脚本漏洞(CNVD-2022-77507)

IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information Server 11.7版本存在跨站脚本漏洞。攻击者可利用该漏洞在Web UI中嵌入任意JavaScript代码,从而改变预期功能,这可能导致可信会话中的凭据泄露。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77507


4、Carrier LenelS2 HID Mercury access panels路径遍历漏洞

Carrier LenelS2 HID Mercury access panels是美国Carrier公司的一个控制器面板。Carrier LenelS2 HID Mercury access panels存在路径遍历漏洞,攻击者可利用该漏洞发送特制的HTTP请求,将任意文件上传到系统的任意位置。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77062


5、IBM InfoSphere Information Server CSV注入漏洞

IBM InfoSphere Information Server是美国国际商业机器(IBM)公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information Server 11.7版本存在CSV注入漏洞,该漏洞源于其对csv文件内容验证不当,远程攻击者可以利用该漏洞在系统上执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-77514


二、境内厂商产品漏洞


1、四川天邑康和通信股份有限公司TY-6201A存在信息泄露漏洞

TY-6201A是一款高性价比全频段支持Wi-Fi6的无线路由器。四川天邑康和通信股份有限公司TY-6201A存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-72986


2、四川天邑康和通信股份有限公司TY-6201A存在逻辑缺陷漏洞

TY-6201A是一款高性价比全频段支持Wi-Fi6的无线路由器。四川天邑康和通信股份有限公司TY-6201A存在逻辑缺陷漏洞,攻击者可利用该漏洞通过POST请求特定路径实现无权限修改密码。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-72985


3、Huawei HarmonyOS权限提升漏洞(CNVD-2022-78140)

Huawei HarmonyOS是中国华为(Huawei)公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei HarmonyOS存在权限提升漏洞,该漏洞源于AMS模块中存在序列化/反序列化不匹配。攻击者可利用该漏洞提升权限。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78140


4、ShopWind跨站脚本漏洞

ShopWind是中国ShopWind公司的一款基于Yii2.0框架深度重构的B2B2C、O2O行业的电商系统软件。ShopWind v3.4.3版本存在跨站脚本漏洞,该漏洞源于组件/common/library/Page.php对用户提供的数据缺乏有效过滤与转义,攻击者可利用该漏洞导致跨站脚本攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78141


5、Tenda AX180堆栈溢出漏洞(CNVD-2022-78479)

Tenda AX1803是中国腾达(Tenda)公司的一款双频千兆WIFI6路由器。Tenda AX1803存在堆栈溢出漏洞,该漏洞是由于formSetSysToolDDNS函数的不正确边界检查导致的。攻击者可利用该漏洞会溢出缓冲区并在系统上执行任意代码,或导致拒绝服务。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-78479


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号