您所在的位置: 首頁 >
安全研究 >
安全通告 >
上周關注度較高的產品安全漏洞
(20220606-20220612)
一、境外廠商產品漏洞
1、Simple Real Estate Portal System SQL注入漏洞
Simple Real Estate Portal System是Carlo Montero個人開發(fā)者的一個房地產門戶系統(tǒng)。Simple Real Estate Portal System v1.0 版本存在SQL注入漏洞,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43408
2、Google Android權限提升漏洞(CNVD-2022-43847)
Google Android是美國谷歌(Google)公司的的一套以Linux為基礎的開源操作系統(tǒng)。Google Android存在權限提升漏洞,該漏洞源于在acropora/app/identity/ic.c的ic_startRetrieveEntryValue中缺少對返回值的驗證,可能會繞過縱深防御。具有系統(tǒng)執(zhí)行權限的攻擊者可利用該漏洞導致本地權限升級。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43847
3、多款Adobe產品資源管理錯誤漏洞(CNVD-2022-43384)
Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印,簽名和注釋PDF。多款Adobe產品存在資源管理錯誤漏洞,攻擊者可利用漏洞在當前用戶的上下文中執(zhí)行任意代碼。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43384
4、Cisco Firepower Threat Defense資源管理錯誤漏洞(CNVD-2022-43404)
Cisco Firepower Threat Defense是美國思科(Cisco)公司的一套提供下一代防火墻服務的統(tǒng)一軟件。Cisco Firepower Threat Defense存在資源管理錯誤漏洞,攻擊者可利用該漏洞在受影響的設備上造成拒絕服務條件 (DoS)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-43404
5、WordPress WPvivid Backup and Migration plugin任意文件讀取漏洞
WordPress是Wordpress基金會的一套使用PHP語言開發(fā)的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是WordPress開源的一個應用插件。WordPress WPvivid Backup and Migration plugin 0.9.70版本及之前版本存在任意文件讀取漏洞,攻擊者可利用該漏洞導致任意文件讀取。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44247
二、境內廠商產品漏洞
1、Huawei HarmonyOS DFX模塊釋放后重用漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS DFX模塊存在釋放后重用漏洞。該漏洞源于DFX模塊負責釋放內存的指令發(fā)生混亂,攻擊者可利用該漏洞可能導致系統(tǒng)穩(wěn)定性受影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44624
2、北京華宇信息技術有限公司TAS管理控制臺存在弱口令漏洞
北京華宇信息技術有限公司是一家以軟件與信息服務為主營業(yè)務的智慧信息服務公司。北京華宇信息技術有限公司TAS管理控制臺存在弱口令漏洞,攻擊者可利用該漏洞獲取敏感信息。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-40910
3、Huawei HarmonyOS整數(shù)溢出漏洞(CNVD-2022-44616)
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS 2.0版本存在整數(shù)溢出漏洞。該漏洞源于HarmonyOS的kernel模塊存在錯誤的輸入驗證。攻擊者可利用該漏洞導致設備的機密性或可用性受到影響。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44616
4、Roothub SQL注入漏洞
Roothub是一個使用SSM和MySQL開發(fā)的論壇系統(tǒng)。Roothub存在SQL注入漏洞,該漏洞源于在Topics Counting功能中s參數(shù)缺少對外部輸入SQL語句的驗證,攻擊者可利用該漏洞執(zhí)行非法SQL命令竊取數(shù)據(jù)庫敏感數(shù)據(jù)。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44244
5、Huawei HarmonyOS DFX模塊訪問控制錯誤漏洞
Huawei HarmonyOS是中國華為(Huawei)公司的一個操作系統(tǒng)。提供一個基于微內核的全場景分布式操作系統(tǒng)。Huawei HarmonyOS DFX模塊存在訪問控制錯誤漏洞。該漏洞源于網絡系統(tǒng)或產品未正確限制來自未授權角色的資源訪問。攻擊者可利用該漏洞導致未授權訪問。
參考鏈接:https://www.cnvd.org.cn/flaw/show/CNVD-2022-44625
說明:關注度分析由CNVD秘書處根據(jù)互聯(lián)網用戶對CNVD漏洞信息查閱情況以及產品應用廣泛情況綜合評定。
來源:CNVD漏洞平臺