上周关注度较高的产品安全漏洞(20220822-20220828)

一、境外厂商产品漏洞

1、Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2022-58464）

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释 PDF。Adobe Acrobat Reader存在缓冲区溢出漏洞，该漏洞源于越界写入。攻击者可利用该漏洞执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-58464

2、SAP Business One CSV注入漏洞

SAP Business One是德国思爱普（SAP）公司的一套企业管理软件。该软件包括财务管理、运营管理和人力资源管理等功能。SAP Business One 10.0版本存在CSV注入漏洞，攻击者可利用该漏洞在受害者的计算机上执行任意命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-58470

3、Microsoft HEVC Video Extensions远程代码执行漏洞（CNVD-2022-59676）

Microsoft HEVC Video Extensions是美国微软（Microsoft）公司的一个视频扩展应用程序。该应用使计算机和设备可以读取高效视频编码或HEVC视频。Microsoft HEVC Video Extensions存在远程代码执行漏洞，攻击者可利用该漏洞在系统上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59676

4、Fidelis Network Deception命令注入漏洞

Fidelis Network Deception是美国Fidelis公司的一款安全产品。用于检测威胁并防止数据丢失，有检测恶意行为、识别流量异常、自动响应高级威胁等功能。Fidelis Network and Deception 9.4.5之前版本存在命令注入漏洞，该漏洞源于CommandPost的feed参数在使用feed_comm_test值时存在命令注入，攻击者可利用该漏洞通过特殊的HTTP请求执行系统命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59173

5、Linksys MR8300操作系统命令注入漏洞

Linksys MR8300是美国Linksys公司的一款高性能三频路由器。Linksys MR8300 Router 1.0版本存在操作系统命令注入漏洞，该漏洞源于在注册DDNS服务时，通过指定用户名和密码，攻击者可以利用该漏洞执行任意操作系统命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59208

二、境内厂商产品漏洞

1、网御漏洞扫描系统存在命令执行漏洞

北京网御星云信息技术有限公司业务涵盖网络边界安全防护、应用与数据安全防护、全网安全风险管理、专业安全解决方案和专业安全服务等多个方向。网御漏洞扫描系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-56532

2、WUZHI CMS SQL注入漏洞（CNVD-2022-59014）

WUZHI CMS是五指（WUZHI）公司的一套基于PHP和MySQL的开源内容管理系（CMS）。WUZHI CMS v4.1.0版本存在SQL注入漏洞，攻击者可利用该漏洞通过/coreframe/app/pay/admin/index.php中的$keyValue参数执行任意SQL命令。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59014

3、Lenovo Personal Cloud Storage信息泄露漏洞

Lenovo Personal Cloud Storage是中国联想（Lenovo）公司的一个云存储平台。Lenovo Personal Cloud Storage存在信息泄露漏洞，攻击者可利用该漏洞检索设备和网络详细信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59197

4、Huawei MindSpore Community Tile信息泄露漏洞

Huawei MindSpore Community是中国华为（Huawei）公司的开源深度学习框架。Huawei MindSpore Community Tile存在信息泄露漏洞，该漏洞源于当输入数据类型不是int或int32时将访问敏感数据。攻击者可利用此漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59378

5、Lenovo Personal Cloud Storage信任管理问题漏洞

Lenovo Personal Cloud Storage（联想个人云存储）是中国联想（Lenovo）公司的一款个人云存储。Lenovo Personal Cloud Storage存在信任管理问题漏洞，该漏洞源于Web界面和串行端口的默认管理员密码较弱，攻击者可利用该漏洞通过物理或本地网络访问未经授权的设备。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-59196

说明：关注度分析由CNVD秘书处根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。