您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20220704-20220710)
一、境外廠商產品漏洞
1、IBM App Connect Enterprise Certified Container拒絕服務漏洞
IBM App Connect Enterprise是美國IBM公司的一個操作系統(tǒng)。IBM App Connect Enterprise將現(xiàn)有業(yè)界信任的IBM Integration Bus技術與IBM App Connect Professional以及新的云本機技術進行了組合,提供一個可滿足現(xiàn)代數(shù)字企業(yè)全面集成需求的平臺。IBM App Connect Enterprise Certified Container存在拒絕服務漏洞,該漏洞源于儀表板界面速率限制過高,攻擊者可利用該漏洞導致拒絕服務。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48938
2、IBM Security Verify Access輸入驗證錯誤漏洞
IBM Security Verify Access(ISAM)是美國IBM公司的一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯(lián)合以及移動多因子認證實現(xiàn)對Web、移動、IoT 和云技術等平臺安全簡單的訪問。IBM Security Verify Access存在輸入驗證錯誤漏洞,該漏洞源于JWT令牌驗證錯誤,攻擊者可利用該漏洞獲取敏感信息或可能更改某些信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48939
3、IBM Sterling Partner Engagement Manager信息泄露漏洞
IBM Sterling Partner Engagement Manager是美國IBM公司的一個自動化管理工具。IBM Sterling Partner Engagement Manager 6.2.0 版本存在信息泄露漏洞,經過身份驗證的遠程攻擊者可利用該漏洞獲取敏感信息或修改用戶詳細信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48937
4、Apache Commons遠程代碼執(zhí)行漏洞
Apache Commons是Apache軟件基金會的項目。Apache Commons存在遠程代碼執(zhí)行漏洞,攻擊者可利用該漏洞通過注入攻擊執(zhí)行惡意代碼、向網站寫webshell、控制整個網站甚至服務器。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-49973
5、IBM UrbanCode Deploy加密問題漏洞
IBM UrbanCode Deploy(UCD)是美國IBM公司的一套應用自動化部署工具。該工具基于一個應用部署自動化管理信息模型,并通過遠程代理技術,實現(xiàn)對復雜應用在不同環(huán)境下的自動化部署等。IBM UrbanCode Deploy存在加密問題漏洞,該漏洞源于軟件使用的加密算法比預期的要弱,攻擊者可利用該漏洞解密高度敏感的信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48934
二、境內廠商產品漏洞
1、網御星云網頁防篡改系統(tǒng)存在弱口令漏洞
北京網御星云信息技術公司是國內信息安全行業(yè)的領軍企業(yè),專業(yè)從事信息安全產品的研發(fā)、生產與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務。網御星云網頁防篡改系統(tǒng)存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47241
2、北京網御星云信息技術有限公司網頁防篡改系統(tǒng)存在邏輯缺陷漏洞
北京網御星云信息技術公司是國內信息安全行業(yè)的領軍企業(yè),專業(yè)從事信息安全產品的研發(fā)、生產與銷售,為用戶信息系統(tǒng)提供等級化的整體安全解決方案及安全專業(yè)服務。北京網御星云信息技術有限公司網頁防篡改系統(tǒng)存在邏輯缺陷漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-47237
3、HUAWEI HarmonyOS信息泄露漏洞(CNVD-2022-50634)
HUAWEI HarmonyOS是中國華為(HUAWEI)公司的一個操作系統(tǒng)。提供一個基于微內核的全場景分布式操作系統(tǒng)。HUAWEI HarmonyOS安全組件存在安全漏洞,該漏洞源于芯片組件存在序列號被獲取的漏洞,攻擊者利用該漏洞可導致機密性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50634
4、TP-LINK TL-WR840N訪問控制錯誤漏洞
TP-LINK TL-WR840N是中國普聯(lián)(TP-LINK)公司的一款無線路由器。TP-Link TL-WR840N EU v6.20版本存在訪問控制錯誤漏洞,該漏洞源于UART控制臺不安全,攻擊者可利用該漏洞以root用戶的身份執(zhí)行命令而無需身份驗證。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50633
5、TP-LINK TL-WR840N緩沖區(qū)溢出漏洞
TP-LINK TL-WR840N是一款 無線路由器。TP-LINK TL-WR840N被發(fā)現(xiàn)包含通過DNS服務器參數(shù)溢出的緩沖區(qū)溢出。攻擊者可利用該漏洞導致程序運行失敗、系統(tǒng)宕機、重新啟動等后果。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50635
說明:關注度分析由CNVD秘書處根據互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺