您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
上周關(guān)注度較高的產(chǎn)品安全漏洞(20220307-20220313)
一、境外廠商產(chǎn)品漏洞
1、Siemens SINEC NMS權(quán)限提升漏洞
Siemens SINEC NMS是德國(guó)西門(mén)子(Siemens)公司的 一個(gè)網(wǎng)絡(luò)管理系統(tǒng) (NMS),該系統(tǒng)可用于全天候集中監(jiān)控、管理和配置具有數(shù)萬(wàn)臺(tái)設(shè)備的工業(yè)網(wǎng)絡(luò),包括與安全相關(guān)的領(lǐng)域。Siemens SINEC NMS存在安全漏洞,攻擊者可利用漏洞允許經(jīng)過(guò)身份驗(yàn)證的低權(quán)限用戶實(shí)現(xiàn)權(quán)限提升。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17790
2、Teleport授權(quán)問(wèn)題漏洞
Teleport是美國(guó)Teleport 公司的一個(gè)識(shí)別身份、多協(xié)議的訪問(wèn)代理。用于工程師和安全專業(yè)人員在所有環(huán)境中統(tǒng)一對(duì) SSH 服務(wù)器、Kubernetes 集群、Web 應(yīng)用程序和數(shù)據(jù)庫(kù)的訪問(wèn)。Teleport存在授權(quán)問(wèn)題漏洞,攻擊者可利用該漏洞偽造SSH主機(jī)證書(shū)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18315
3、Siemens SINUMERIK MC權(quán)限提升漏洞
SINUMERIK MC是一個(gè)用于定制機(jī)器解決方案的CNC系統(tǒng)。SINUMERIK ONE是一個(gè)數(shù)字原生數(shù)控系統(tǒng)。Siemens SINUMERIK MC存在權(quán)限提升漏洞,攻擊者可利用漏洞將其權(quán)限升級(jí)到root。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17780
4、Dell Vnx2 Oe For File安全特征問(wèn)題漏洞
Dell Vnx2 Oe For File是美國(guó)戴爾(Dell)公司的一個(gè)操作環(huán)境。Dell Vnx2 Oe For File存在安全特征問(wèn)題漏洞,該漏洞源于在處理身份驗(yàn)證請(qǐng)求時(shí)發(fā)生錯(cuò)誤。遠(yuǎn)程攻擊者可利用該漏洞繞過(guò)認(rèn)證過(guò)程,獲得對(duì)應(yīng)用程序的未授權(quán)訪問(wèn)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-18261
5、Oracle MySQL Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-17682)
Oracle MySQL Server是美國(guó)甲骨文(Oracle)公司的一款關(guān)系型數(shù)據(jù)庫(kù)。Oracle MySQL Server存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致MySQL Server掛起或頻繁重復(fù)崩潰。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17682
二、境內(nèi)廠商產(chǎn)品漏洞
1、TOTOLink A830R命令注入漏洞
TOTOLink A830R是中國(guó)TotoLink公司的一款無(wú)線雙頻路由器。TOTOLink A830R V5.9c.4729_B20191112版本存在命令注入漏洞,攻擊者可利用該漏洞通過(guò)QUERY_STRING參數(shù)執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17104
2、MCMS存在SQL注入漏洞(CNVD-2022-17364)
MCMS是一款基于java開(kāi)發(fā)的一套輕量級(jí)開(kāi)源內(nèi)容管理系統(tǒng)。MCMS存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17364
3、TOTOLink A950RG命令注入漏洞
TOTOLink A950RG是中國(guó)TotoLink公司的一款無(wú)線路由器。TOTOLink A950RG V5.9c.4050_B20190424 和V4.1.2cu.5204_B20210112版本存在命令注入漏洞,攻擊者可利用該漏洞通過(guò)QUERY_STRING參數(shù)執(zhí)行任意命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17106
4、Huawei Emui和Magic UI整數(shù)溢出漏洞
Huawei Emui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Magic Ui是一款基于Android開(kāi)發(fā)的移動(dòng)端操作系統(tǒng)。Huawei Emui和Magic UI存在整數(shù)溢出漏洞,攻擊者可利用此漏洞導(dǎo)致隨機(jī)地址訪問(wèn)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17394
5、TerraMaster TOS身份繞過(guò)漏洞
TerraMaster(鐵威馬)是全球知名專業(yè)存儲(chǔ)品牌。TerraMaster TOS身份繞過(guò)漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-17750
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源: CNVD漏洞平臺(tái)