上周关注度较高的产品安全漏洞(20220926-20221009)

一、境外厂商产品漏洞

1、Google Android代码执行漏洞（CNVD-2022-65629）

https://www.cnvd.org.cn/flaw/show/CNVD-2022-65629

2、Microsoft Windows Secure Channel拒绝服务漏洞

Microsoft Windows是美国微软（Microsoft）公司的一套个人设备使用的操作系统。Microsoft Windows Secure Channel存在拒绝服务漏洞。该漏洞源于未对输入的错误消息做正确的处理，攻击者可利用此漏洞造成拒绝服务条件。

3、Google Android权限提升漏洞（CNVD-2022-65642）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞。该漏洞源于不正确的程序对高级本地过程的调用。攻击者可利用此漏洞导致权限提升。

4、Mattermost拒绝服务漏洞（CNVD-2022-67044）

Mattermost是美国Mattermost公司的一个开源协作平台。Mattermost存在拒绝服务漏洞，该漏洞源于上传特制GIF文件时无法充分处理，经过身份验证的攻击者可利用该漏洞在处理文件时会导致资源耗尽，从而导致服务器端拒绝服务。

5、Google Android权限提升漏洞（CNVD-2022-65640）

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Android存在权限提升漏洞。该漏洞源于不正确的程序对高级本地过程的调用。攻击者可利用此漏洞获得提升权限。

二、境内厂商产品漏洞

1、七猫免费小说存在逻辑缺陷漏洞

七猫免费小说是一款非常棒的完整版小说阅读软件。七猫免费小说存在逻辑缺陷漏洞，攻击者可利用该漏洞向应用中注入恶意程序。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-64955

2、江西铭软科技有限公司MCMS存在命令执行漏洞（CNVD-2022-61927）

MCms是一款完整开源的内容管理系统。江西铭软科技有限公司MCMS存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-61927

3、TOTOLINK A3002MU存在弱口令漏洞

A3002MU是一款路由器。TOTOLINK A3002MU存在弱口令漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-62000

4、四创科技有限公司河长制综合管理系统存在SQL注入漏洞

四创科技有限公司是中国减灾兴利信息服务提供商。四创科技有限公司河长制综合管理系统存在SQL注入漏洞，攻击者可利用该漏洞获取数据库敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-64520

5、华天动力协同办公系统存在任意文件下载漏洞

大连华天软件有限公司是OA软件与解决方案提供商。华天动力协同办公系统存在任意文件下载漏洞，攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-63196

说明：关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。