您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220228-20220306)
一、境外廠商產(chǎn)品漏洞
1、Samba權(quán)限許可和訪問控制問題漏洞
Samba是用于Linux和Unix的標(biāo)準(zhǔn)Windows互操作性程序套件。Samba存在權(quán)限許可和訪問控制問題漏洞,攻擊者可利用此漏洞導(dǎo)致權(quán)限升級。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15502
2、Airspan Networks Mmp操作系統(tǒng)命令注入漏洞
Airspan Networks Mmp是美國Airspan Networks公司的一個用于Mimosa固定無線設(shè)備的高級獨(dú)立網(wǎng)絡(luò)管理軟件平臺。Airspan Networks Mmp存在操作系統(tǒng)命令注入漏洞,攻擊者可利用該漏洞注入任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16295
3、Samba權(quán)限許可和訪問控制問題漏洞(CNVD-2022-15501)
Samba是用于Linux和Unix的標(biāo)準(zhǔn)Windows互操作性程序套件。Samba存在權(quán)限許可和訪問控制問題漏洞,該漏洞源于在作為 Active Directory域控制器的samba能夠支持RODC(只讀域控制器)的方式中發(fā)現(xiàn)了一個缺陷。攻擊者可利用漏洞允許RODC打印管理員票證。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15501
4、IBM VIOS輸入驗(yàn)證錯誤漏洞(CNVD-2022-15531)
IBM AIX是美國IBM公司的一款為IBM Power 體系架構(gòu)開發(fā)的一種基于開放標(biāo)準(zhǔn)的UNIX 操作系統(tǒng)。IBM VIOS存在輸入驗(yàn)證錯誤漏洞,該漏洞源于在AIX內(nèi)核中未能對用戶提供的輸入進(jìn)行充分的驗(yàn)證。攻擊者可利用該漏洞來執(zhí)行拒絕服務(wù)(DoS)攻擊。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15531
5、Adobe Illustrator越界讀取漏洞(CNVD-2022-15934)
Adobe Illustrator是美國奧多比(Adobe)公司的一套基于向量的圖像制作軟件。Adobe Illustrator存在安全漏洞,該漏洞源于產(chǎn)品未對數(shù)據(jù)添加有效的保護(hù)措施。遠(yuǎn)程攻擊者可利用該漏洞訪問敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15934
二、境內(nèi)廠商產(chǎn)品漏洞
1、D-Link DIR-882命令注入漏洞
D-LinkDIR-882是中國友訊(D-Link)公司的一款千兆企業(yè)級路由器。D-Link DIR-882存在命令注入漏洞,攻擊者可利用該漏洞通過精心制作的HNAP1 POST請求執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15189
2、四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測預(yù)警平臺存在文件上傳漏洞(CNVD-2022-10314)
四創(chuàng)科技有限公司是中國減災(zāi)興利信息服務(wù)提供商。四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測預(yù)警平臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-10314
3、TOTOLink多款路由器認(rèn)證繞過漏洞
TOTOLink 是亞太區(qū)中高端無線路由的一個品牌。TOTOLink多款路由器認(rèn)證繞過漏洞,攻擊者可利用該漏洞以root權(quán)限在?標(biāo)設(shè)備執(zhí)?任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-16181
4、D-Link Dir-823-Pro命令注入漏洞(CNVD-2022-15175)
D-Link Dir-823-Pro是中國友訊(D-Link)公司的一款雙頻智能無線路由器。D-Link DIR-823-Pro v1.0.2存在命令注入漏洞,攻擊者可利用該漏洞通過samba_name參數(shù)執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-15175
5、四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測預(yù)警平臺存在文件上傳漏洞(CNVD-2022-13862)
四創(chuàng)科技有限公司是中國減災(zāi)興利信息服務(wù)提供商。四創(chuàng)科技有限公司山洪災(zāi)害監(jiān)測預(yù)警平臺存在文件上傳漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-13862
說明:關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評定。
文章來源:CNVD漏洞平臺