您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220214-20220221)
一、境外廠商產(chǎn)品漏洞
1、Microsoft Windows Print Spooler遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2022-10025)
Microsoft Windows Print Spooler是美國微軟(Microsoft)公司的一個打印后臺處理程序組件。Microsoft Windows PrintSpooler存在遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可利用該漏洞在系統(tǒng)中運(yùn)行惡意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10025
2、Siemens Simcenter Femap內(nèi)存破壞漏洞
Siemens Simcenter Femap是德國西門子(Siemens)公司的一款尖端工程學(xué)仿真應(yīng)用程序。用于創(chuàng)建、編輯和導(dǎo)入/重用復(fù)雜產(chǎn)品或系統(tǒng)基于網(wǎng)格的有限元分析模型。Siemens Simcenter Femap存在內(nèi)存破壞漏洞,攻擊者可利用漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10016
3、Sealevel Systems SeaConnect 370W緩沖區(qū)溢出漏洞
Sealevel Systems SeaConnect 370W是美國Sealevel Systems公司的一款工業(yè)物聯(lián)網(wǎng)(Iiot)邊緣設(shè)備。用于遠(yuǎn)程監(jiān)視和控制實(shí)際 I/O 進(jìn)程的狀態(tài)。Sealevel SystemsSeaConnect 370W存在緩沖區(qū)溢出漏洞,該漏洞源于產(chǎn)品的LLMNR功能未對內(nèi)存邊界做有效限制,攻擊者可利用該漏洞通過特制的網(wǎng)絡(luò)包導(dǎo)致遠(yuǎn)程代碼執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10703
4、Microsoft Edge for Android信息泄露漏洞
Microsoft Edge for Android是美國微軟(Microsoft)公司的一款適配Android系統(tǒng)的Web瀏覽器。MicrosoftEdge for Android在93.0.961.38之前版本存在信息泄露漏洞,該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品在運(yùn)行過程中存在配置等錯誤,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10029
5、Adobe Acrobat Reader DC ActiveX Control信息泄露漏洞
Adobe Acrobat Reader Dc是美國Adobe公司的一個Pdf閱讀工具。用于可靠查看、打印和注釋Pdf文檔。Adobe Acrobat Reader DC ActiveXControl存在信息泄露漏洞,攻擊者可利用該漏洞獲取NTLMv2憑據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10756
二、境內(nèi)廠商產(chǎn)品漏洞
1、上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執(zhí)行漏洞
向日葵是一款免費(fèi)的,集遠(yuǎn)程控制電腦手機(jī)、遠(yuǎn)程桌面連接、遠(yuǎn)程開機(jī)、遠(yuǎn)程管理、支持內(nèi)網(wǎng)穿透的一體化遠(yuǎn)程控制管理工具軟件。上海貝銳信息科技股份有限公司向日葵個人版for Windows存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10270
2、Tenda Ax3緩沖區(qū)溢出漏洞(CNVD-2022-11182)
Tenda Ax3是中國騰達(dá)(Tenda)公司的一款A(yù)x1800千兆端口雙頻 Wifi 6無線路由器。Tenda AX3 v16.03.12.10_CN存在緩沖區(qū)溢出漏洞,攻擊者可利用該漏洞通過schedStartTime和 schedEndTime參數(shù)造成拒絕服務(wù) (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-11182
3、Tenda G1 and G3命令注入漏洞(CNVD-2022-10749)
Tenda G1 and G3是中國騰達(dá)(Tenda)公司的一個路由器。Tenda G1 and G3v15.11.0.17(9502)_CN存在命令注入漏洞,攻擊者可利用該漏洞通過IPGroupStartIP和IPGroupEndIP參數(shù)執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10749
4、Reolink Rlc-410W拒絕服務(wù)漏洞(CNVD-2022-10263)
Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。Reolink RLC-410W存在安全漏洞,攻擊者可利用該漏洞造成拒絕服務(wù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10263
5、D-Link DIR-X1860拒絕服務(wù)漏洞(CNVD-2022-11517)
D-Link Dir-X1860是中國友訊(D-Link)公司的一款雙頻路由器。D-Link DIR-X1860v1.10WWB09_Beta之前版本存在安全漏洞,該漏洞源于web應(yīng)用程序中缺少對于URL的驗(yàn)證和過濾,未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可利用該漏洞通過發(fā)送一個專門設(shè)計(jì)的URL給身份驗(yàn)證的受害者來重啟路由器。經(jīng)過身份驗(yàn)證的受害者需要訪問這個URL,以便路由器重新啟動。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-11517
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
來源:CNVD漏洞平臺