上周关注度较高的产品安全漏洞(20221017-20221023)

一、境外厂商产品漏洞

1、Apache Dubbo Hession反序列化漏洞

Apache Dubbo是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。Apache Dubbo Hession存在反序列化漏洞，攻击者可利用该漏洞在目标服务器上执行任意代码。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70071

2、Rocket.Chat SQL注入漏洞

Rocket.Chat是一套开源的团队聊天软件。Rocket.Chat 存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞通过2fa secret或2fa secret检索重置密码令牌。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70028

3、Wedding Planner select.php SQL注入漏洞

Wedding Planner是一个婚礼策划师项目。旨在为用户提供一种简单的方法，让他们在使用真实数据的同时通过 Web 应用程序来计划他们的婚礼。Wedding Planner v1.0版本存在 SQL注入漏洞，该漏洞源于/admin/select.php中的id参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70026

4、Oracle E-Business Suite访问控制错误漏洞

Oracle公司（甲骨文）是全球最大的信息管理软件及服务供应商，成立于1977年，总部位于美国加州Redwood shore，面向全球开放oracle认证。Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle E-Business Suite（组件：Manage Proxies）12.2版本存在访问控制错误漏洞。攻击者可利用该漏洞通过HTTP进行网络访问，导致未经授权访问关键数据或完全访问所有Oracle E-Business Suite可访问的数据。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70079

5、Microsoft Windows Print Spooler Components权限提升漏洞（CNVD-2022-70056）

Microsoft Windows Print Spooler Components是美国微软（Microsoft）公司的一个打印后台处理程序组件。Microsoft Windows Print Spooler Components存在权限提升漏洞。该漏洞源于不正确的程序对高级本地过程的调用。攻击者可利用此漏洞导致权限提升。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70056

二、境内厂商产品漏洞

1、Tenda TX3存在未明漏洞（CNVD-2022-70578）

Tenda TX3是中国腾达（Tenda）公司的一款无线路由器。Tenda TX3存在安全漏洞，该漏洞源于/goform/SetSysTimeCfg的timeZone参数包含堆栈溢出。目前没有详细的漏洞细节提供。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70578

2、网神SecGate 3600防火墙存在文件上传漏洞

网神SecGate 3600防火墙是基于状态检测包过滤和应用级代理的复合型硬件防火墙。网神SecGate 3600防火墙存在文件上传漏洞，攻击者可利用该漏洞获取服务器权限。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-58824

3、Tenda TX3存在未明漏洞（CNVD-2022-70592）