上周关注度较高的产品安全漏洞(20220912-20220918)
发布人:系统管理员 发表时间:2022-09-21 浏览次数:0次
一、境外厂商产品漏洞
1、WordPress plugin Perfect Brands for WooCommerce信息泄露漏洞
WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是WordPress的一个应用插件。WordPress Plugin Perfect Brands for WooCommerce存在信息泄露漏洞,攻击者可利用该漏洞允许服务器信息暴露。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-62802
2、IBM InfoSphere Information Server命令执行漏洞
IBM InfoSphere Information Server是美国IBM公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM InfoSphere Information Server 11.7版本存在命令执行漏洞,攻击者可利用该漏洞通过发送特制请求在系统上执行任意命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63369
3、SAP NetWeaver Application Server跨站脚本漏洞(CNVD-2022-63625)
SAP NetWeaver Application Server是德国思爱普(SAP)公司的一款应用程序服务器。SAP NetWeaver Application Server存在跨站脚本漏洞,攻击者利用该漏洞可进行跨站脚本 (XSS)攻击。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63625
4、IBM Security Identity Governance and Intelligence信息泄露漏洞(CNVD-2022-63183)
IBM Security Identity Governance and Intelligence(IGI)是美国IBM公司的一套身份治理解决方案。该产品包括生命周期管理、访问风险评估和身份认证管理等功能。IBM Security Identity Governance and Intelligence 5.2.6版本存在信息泄露漏洞,攻击者可利用该漏洞在URL参数中获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63183
5、IBM i SQL注入漏洞(CNVD-2022-63180)
IBM i是美国IBM公司的一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM i 7.3、7.4和7.5版本存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证,攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63180
二、境内厂商产品漏洞
1、深信服科技股份有限公司虚拟化授权管理系统存在弱口令漏洞
深信服科技股份有限公司是专注于企业级网络安全、云计算、IT基础设施与物联网的产品和服务供应商。深信服科技股份有限公司虚拟化授权管理系统存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-48612
2、Tenda AX12跨站请求伪造漏洞(CNVD-2022-63551)
Tenda AX12是中国腾达(Tenda)公司的一款双频千兆Wifi 6无线路由器。Tenda AX12 V22.03.01.21_CN存在跨站请求伪造漏洞,该漏洞源于/goform/SysToolReboot中的sub_42E328函数未充分验证请求是否来自可信用户,攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63551
3、北京网御星云信息技术有限公司网御防火墙系统存在信息泄露漏洞
北京网御星云信息技术公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及安全专业服务。北京网御星云信息技术有限公司网御防火墙系统存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-59305
4、Tenda AX12跨站请求伪造漏洞(CNVD-2022-63550)
Tenda AX12是中国腾达(Tenda)公司的一款双频千兆Wifi 6无线路由器。Tenda AX12 V22.03.01.21_CN固件版本存在跨站请求伪造漏洞,该漏洞源于 /goform/WifiExtraSet的sub_422168函数未充分验证请求是否来自可信用户,攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-63550
5、TOTOLINK T8存在未授权连接Telnet服务漏洞
TOTOLINK T8是中国吉翁电子(TOTOLINK)公司的一款无线路由器。TOTOLINK T8存在未授权连接Telnet服务漏洞 ,攻击者可利用该漏洞在未经授权的情况下启动telnet,获取服务器控制权。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-61227
说明:关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。