(20220425-20220508)

一、境外廠商產(chǎn)品漏洞

1、Oracle MySQL Server輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-33993)

Oracle MySQL是美國甲骨文(Oracle)公司的一套開源的關(guān)系數(shù)據(jù)庫管理系統(tǒng)。MySQL Server是其中的一個(gè)數(shù)據(jù)庫服務(wù)器組件。Oracle MySQL Server(組件：Server: DDL)8.0.28及之前版本存在輸入驗(yàn)證錯(cuò)誤漏洞。未經(jīng)身份驗(yàn)證的攻擊者可利用該漏洞通過多種協(xié)議進(jìn)行網(wǎng)絡(luò)訪問，從而破壞MySQL Server，導(dǎo)致MySQL Server掛起或頻繁崩潰(拒絕服務(wù))及對(duì)MySQL Server某些可訪問數(shù)據(jù)進(jìn)行未授權(quán)更新、插入或刪除。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-33993

2、Accusoft ImageGear堆緩沖區(qū)溢出漏洞(CNVD-2022-35416)

Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在安全漏洞，攻擊者可利用該漏洞將精心編制的數(shù)據(jù)傳遞給應(yīng)用程序，觸發(fā)堆緩沖區(qū)溢出，并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-35416

3、Accusoft ImageGear堆緩沖區(qū)溢出漏洞(CNVD-2022-35415)

Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在安全漏洞，攻擊者可利用該漏洞將精心編制的數(shù)據(jù)傳遞給應(yīng)用程序，觸發(fā)堆緩沖區(qū)溢出，并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-35415

4、SAP 3D Visual Enterprise Viewer輸入驗(yàn)證錯(cuò)誤漏洞(CNVD-2022-33125)

SAP 3D Visual Enterprise Viewer是德國思愛普(SAP)公司的一款3D視圖查看器。該軟件支持在所有行業(yè)標(biāo)準(zhǔn)的桌面應(yīng)用中發(fā)布2D、3D場(chǎng)景，并支持以獨(dú)立可執(zhí)行程序和ActiveX空間單獨(dú)安裝。SAP 3D Visual Enterprise Viewer存在輸入驗(yàn)證錯(cuò)誤漏洞，攻擊者可利用該漏洞通過精心處理的Universal 3D(.u3d、3difr.x3d)，導(dǎo)致應(yīng)用程序崩潰。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-33125

5、Accusoft ImageGear輸入驗(yàn)證錯(cuò)誤漏洞

Accusoft ImageGear是美國Accusoft公司的一款用于圖像處理的軟件開發(fā)工具包(SDK)。Accusoft ImageGear存在輸入驗(yàn)證錯(cuò)誤漏洞，該漏洞源于在處理JPEG-JFIF掃描頭解析器功能中不受信任的輸入時(shí)存在邊界錯(cuò)誤。攻擊者可利用該漏洞觸發(fā)目標(biāo)系統(tǒng)上的越界寫入和執(zhí)行任意代碼。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-35418

二、境內(nèi)廠商產(chǎn)品漏洞

1、ASUS WebStorage Android安全繞過漏洞

ASUSWebStorage是中國華碩(ASUS)公司的一種在線存儲(chǔ)服務(wù)。ASUS WebStorage Android存在安全漏洞，攻擊者可利用此漏洞登錄到普通用戶帳戶，以訪問、修改或刪除用戶帳戶信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-32820

2、用友U8-OA企業(yè)版存在SQL注入漏洞(CNVD-2022-31182)

用友網(wǎng)絡(luò)科技股份有限公司是一家企業(yè)云服務(wù)與軟件提供商。用友U8-OA企業(yè)版存在SQL注入漏洞，攻擊者可利用該漏洞獲取數(shù)據(jù)庫敏感信息。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-31182

3、Tenda M3命令注入漏洞

Tenda M3是中國騰達(dá)(Tenda)公司的一款門禁控制器。Tenda M3存在命令注入漏洞，該漏洞源于組件/goform/delAd未能正確過濾構(gòu)造命令特殊字符、命令等，攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-33123

4、Tenda M3命令注入漏洞(CNVD-2022-33121)

Tenda M3是中國騰達(dá)(Tenda)公司的一款門禁控制器。Tenda M3存在命令注入漏洞，該漏洞源于組件/goform/setAdInfoDetail未能正確過濾構(gòu)造命令特殊字符、命令等，攻擊者可利用該漏洞導(dǎo)致任意命令執(zhí)行。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-33121

5、ASUS RT-AX88U代碼執(zhí)行漏洞

ASUS RT-AX88U是中國華碩(ASUS)公司的一款無線路由器。ASUS RT-AX88U存在安全漏洞，攻擊者可利用此漏洞在設(shè)備上執(zhí)行任意代碼或造成拒絕服務(wù)情況。

參考鏈接：https://www.cnvd.org.cn/flaw/show/CNVD-2022-32819

說明：關(guān)注度分析由CNVD秘書處根據(jù)互聯(lián)網(wǎng)用戶對(duì)CNVD漏洞信息查閱情況以及產(chǎn)品應(yīng)用廣泛情況綜合評(píng)定。

來源： CNVD漏洞平臺(tái)