0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20221205-20221211)


一、境外厂商产品漏洞


1、GNU Emacs命令注入漏洞

GNU Emacs是美国GNU社区的一个文本编辑器家族。GNU Emacs 28.2版本及之前版本存在命令注入漏洞,该漏洞源于lib-src/etags.c在实现ctags程序时使用了系统C库函数。攻击者可利用漏洞执行任意命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85329


2、IBM Db2信息泄露漏洞(CNVD-2022-85416)

IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞,该漏洞源于权限管理错误。攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85416


3、Amasty Blog Pro for Magento 2跨站脚本漏洞

Amasty Blog是Amasty公司的一个网站页面扩展。magento2是一款开源PHP电商系统。Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站脚本漏洞,该漏洞源于该插件中博客帖子创建功能未能对short_content和full_content字段进行有效过滤,攻击者可利用漏洞注入JavaScript代码,通过帖子(预览)或帖子(保存)对管理面板用户发起XSS攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-84555


4、IBM Engineering Requirements Quality Assistant跨站脚本漏洞

IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。IBM Engineering Requirements Quality Assistant所有版本存在跨站脚本漏洞,攻击者可以利用该漏洞注入恶意的web脚本。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85423


5、D-Link DIR-882 webGetVarString函数缓冲区溢出漏洞

D-Link DIR-882是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-882固件1.10B02和1.20B06版本存在缓冲区溢出漏洞,该漏洞源于其webGetVarString函数对输入数据缺乏长度验证,攻击者可利用漏洞导致拒绝服务或者远程代码执行。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85551


二、境内厂商产品漏洞


1、用友BIP数据应用服务存在逻辑缺陷漏洞

用友创立于1988年,是全球领先的企业云服务与软件提供商。用友BIP数据应用服务存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-80754


2、ZTE MF286R缓冲区溢出漏洞

ZTE MF286R是中国中兴通讯(ZTE)公司的一款无线路由器。ZTE MF286R mf286r_b07版本之前存在缓冲区溢出漏洞,该漏洞源于缺乏对wifi接口参数的输入验证,攻击者可利用该漏洞进行拒绝服务攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85560


3、WAVLINK WN531G3访问控制错误漏洞

WAVLINK WN531G3是中国睿因科技(WAVLINK)公司的一个无线路由器。WAVLINK WN531G3 M31G3.V5030.201204版本和M31G3.V5030.200325版本存在访问控制错误漏洞,攻击者可利用该漏洞下载配置数据和日志文件。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-86355


4、Infinova HD Network Mini Dome存在弱口令漏洞

英飞拓(Infinova),创立于1993年,公司以智慧安防为核心,是智慧城市、智慧家庭方案提供商和运营服务商,为全球提供智慧安防、智慧城市、智慧家庭、大数据和互联网运营服务。Infinova HD Network Mini Dome存在存在弱口令漏洞。攻击者可通过默认口令登录系统后台,获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2021-80694


5、MingSoft MCMS SQL注入漏洞(CNVD-2022-85104)

MingSoft MCMS是中国铭飞(MingSoft)公司的一个完整开源的J2ee系统。Mingsoft MCMS存在SQL注入漏洞,该漏洞源于/cms/content/list的categoryId参数缺少对于SQL数据的过滤和转义,攻击者可利用该漏洞执行恶意的SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-85104


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。


来源:CNVD漏洞平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号