0371-60127539
400-6620-135

    您所在的位置: 首页 > 安全研究 > 安全通告 > 上周关注度较高的产品安全漏洞

上周关注度较高的产品安全漏洞

(20221226-20230101)


一、境外厂商产品漏洞


1、IBM Cognos Analytics服务器端请求伪造漏洞

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cognos Analytics 11.1.7、11.2.0和11.2.1版本存在服务器端请求伪造漏洞。攻击者可利用该漏洞向内部网络或本地文件系统发出任意请求。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91133


2、IBM Cognos Analytics敏感信息泄露漏洞(CNVD-2022-91131)

IBM Cognos Analytics是美国IBM公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。IBM Cognos Analytics 11.1.7、11.2.0和11.2.1版本存在敏感信息泄露漏洞。攻击者可利用该漏洞通过向日志文件传递API密钥导致敏感信息泄露。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91131


3、Adobe Experience Manager跨站脚本漏洞(CNVD-2022-91149)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞在浏览器上下文中执行恶意JavaScript。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91149


4、Adobe Experience Manager跨站脚本漏洞(CNVD-2022-91148)

Adobe Experience Manager(AEM)是美国奥多比(Adobe)公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Experience Manager存在跨站脚本漏洞,攻击者可利用该漏洞在浏览器上下文中执行恶意JavaScript。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-91148


5、AeroCMS SQL注入漏洞(CNVD-2023-00001)

AeroCMS是美国AeroCMS公司的一个内容管理系统。AeroCMS v0.0.1版本存在SQL注入漏洞,该漏洞源于CMS系统的approve参数易受SQL注入攻击。攻击者可利用该漏洞通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-00001

二、境内厂商产品漏洞


1、Tenda i22缓冲区溢出漏洞

Tenda i22是中国腾达(Tenda)公司的一款无线接入点。Tenda i22 /goform/setcfm存在缓冲区溢出漏洞,远程攻击者可利用该漏洞提交特殊的请求,可以在系统上下文执行任意代码或者使应用程序崩溃。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2023-00010


2、啄木鸟家庭维修APP存在逻辑缺陷漏洞

啄木鸟家庭维修APP是一款正规专业的上门到家维修服务软件。啄木鸟家庭维修APP存在逻辑缺陷漏洞,攻击者可利用该漏洞造成服务端短信资源耗尽,对任意手机号进行短信炸弹攻击。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-89490


3、浙江大华技术股份有限公司智能物联综合管理平台存在弱口令漏洞(CNVD-2022-87084)

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司智能物联综合管理平台存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-87084


4、用友网络科技股份有限公司U8+渠道管理存在SQL注入漏洞

用友创立于1988年,是全球领先的企业云服务与软件提供商。用友网络科技股份有限公司U8+渠道管理存在SQL注入漏洞,攻击者可利用漏洞获取数据库敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88373


5、珠海国津软件科技有限公司ITSM管理系统存在信息泄露漏洞

珠海国津软件科技有限公司成立于2009年,专注ESM领域,ITSM是其中重要的组成部分。珠海国津软件科技有限公司ITSM管理系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-88361


说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。

(编辑:CNVD) 

来源:国家信息安全漏洞共享平台

敬请关注

金瀚信安公众号

为国家关键信息基础设施安全保驾护航!
          

客服:+86-400-6620-135

成员企业:金瀚信安(北京)科技有限公司
Copyright © 郑州金瀚信息安全技术有限公司 All Right Reserved 豫公网安备 41010202002856号 豫ICP备16013292-2号