您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
上周關(guān)注度較高的產(chǎn)品安全漏洞
(20220711-20220717)
一、境外廠商產(chǎn)品漏洞
1、WordPress Coming soon and Maintenance mode跨站請(qǐng)求偽造漏洞
WordPress是Wordpress基金會(huì)的一套使用PHP語(yǔ)言開(kāi)發(fā)的博客平臺(tái)。該平臺(tái)支持在PHP和MySQL的服務(wù)器上架設(shè)個(gè)人博客網(wǎng)站。WordPress plugin是WordPress開(kāi)源的一個(gè)應(yīng)用插件。WordPress Coming soon and Maintenance mode存在跨站請(qǐng)求偽造漏洞,該漏洞源于插件未CSRF檢查,攻擊者可利用該漏洞通過(guò)CSRF攻擊將任意郵件發(fā)送給所有訂閱用戶。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51184
2、Fortinet FortiPortal安全特征問(wèn)題漏洞
Fortinet FortiPortal是美國(guó)飛塔(Fortinet)公司的FortiGate、FortiWiFi和FortiAP產(chǎn)品線的高級(jí)、功能豐富的托管安全分析和管理支持工具,可作為虛擬機(jī)供MSP使用。Fortinet FortiPortal 6.0.6之前版本存在安全特征問(wèn)題漏洞,該漏洞源于FortiPortal 的密碼重置功能中使用弱偽隨機(jī)數(shù)生成器,攻擊者可利用該漏洞在給定時(shí)間范圍內(nèi)預(yù)測(cè)部分或全部新生成的密碼 。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50955
3、SAP 3D Visual Enterprise Viewer輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-50940)
SAP 3D Visual Enterprise Viewer是德國(guó)思愛(ài)普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業(yè)標(biāo)準(zhǔn)的桌面應(yīng)用中發(fā)布2D、3D場(chǎng)景,并支持以獨(dú)立可執(zhí)行程序和ActiveX空間單獨(dú)安裝。SAP 3D Visual Enterprise Viewer存在輸入驗(yàn)證錯(cuò)誤漏洞,攻擊者可利用該漏洞導(dǎo)致應(yīng)用程序崩潰并且用戶暫時(shí)無(wú)法使用,直到重新啟動(dòng)應(yīng)用程序。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50940
4、Apache NiFi命令注入漏洞
Apache NiFi是美國(guó)阿帕奇(Apache)基金會(huì)的一套數(shù)據(jù)處理和分發(fā)系統(tǒng)。該系統(tǒng)主要用于數(shù)據(jù)路由、轉(zhuǎn)換和系統(tǒng)中介邏輯。Apache NiFi Registry是其中的一個(gè)用于存儲(chǔ)和管理版本化流程的注冊(cè)表。Apache NiFi 1.10.0版本至1.16.2版本、Apache NiFi Registry 0.6.0版本至1.16.2版本存在命令注入漏洞。該漏洞源于用戶輸入構(gòu)造執(zhí)行命令過(guò)程中,網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未能正確過(guò)濾其中的特殊字符、命令等。攻擊者可利用該漏洞在Linux和macOS平臺(tái)上注入操作系統(tǒng)命令。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51056
5、SAP PowerDesigner代碼問(wèn)題漏洞
SAP PowerDesigner是德國(guó)思愛(ài)普(SAP)公司的一款數(shù)據(jù)庫(kù)設(shè)計(jì)軟件。SAP PowerDesigner Proxy 16.7版本存在代碼問(wèn)題漏洞,攻擊者可利用該漏洞繞過(guò)系統(tǒng)的根磁盤(pán)訪問(wèn)限制,在系統(tǒng)磁盤(pán)根路徑上寫(xiě)入或創(chuàng)建程序文件,并提升應(yīng)用程序的權(quán)限。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-50943
二、境內(nèi)廠商產(chǎn)品漏洞
1、禾匠榜店商城系統(tǒng)存在命令執(zhí)行漏洞
浙江禾匠信息科技有限公司是一家專(zhuān)業(yè)從事移動(dòng)互聯(lián)網(wǎng)技術(shù)開(kāi)發(fā)的科技型公司。禾匠榜店商城系統(tǒng)存在命令執(zhí)行漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51194
2、易勤WEB考勤管理軟件存在SQL注入漏洞
易勤WEB考勤管理軟件是一款網(wǎng)絡(luò)版B/S架構(gòu)WEB考勤管理軟件。易勤WEB考勤管理軟件存在SQL注入漏洞,攻擊者可利用該漏洞獲取數(shù)據(jù)庫(kù)敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48623
3、D-Link DIR-890L存在二進(jìn)制漏洞
D-Link DIR-890L是一款無(wú)線路由器。D-Link DIR-890L存在二進(jìn)制漏洞,攻擊者可利用該漏洞獲取服務(wù)器控制權(quán) 。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51196
4、北京寶蘭德軟件股份有限公司BES管理控制臺(tái)存在未授權(quán)訪問(wèn)漏洞
北京寶蘭德軟件股份有限公司是一家專(zhuān)注于基礎(chǔ)軟件研發(fā)及推廣的高新技術(shù)軟件企業(yè)。北京寶蘭德軟件股份有限公司BES管理控制臺(tái)存在未授權(quán)訪問(wèn)漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-48616
5、Robustel R1510操作系統(tǒng)命令注入漏洞(CNVD-2022-51425)
Robustel R1510是中國(guó)Robustel公司的一款工業(yè)VPN路由器。Robustel R1510存在操作系統(tǒng)命令注入漏洞,該漏洞源于特制的網(wǎng)絡(luò)數(shù)據(jù)包可在`/ajax/set_sys_time/`API中受到命令注入漏洞的影響,攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-51425
說(shuō)明:關(guān)注度分析由CNVD秘書(shū)處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。
來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)