上周关注度较高的产品安全漏洞(20221024-20221030)

一、境外厂商产品漏洞

1、Avantune Genialcloud ProJ跨站脚本漏洞

Avantune Genialcloud ProJ是加拿大Avantune公司的一个基于云的ERP平台。Avantune Genialcloud ProJ 10版本存在跨站脚本漏洞，攻击者可利用该漏洞通过精心设计的有效负载注入和执行任意Web脚本或HTML。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-71647

2、Chris Brame Trudesk信息泄露漏洞

Chris Brame Trudesk是美国Chris Brame公司的一个开源帮助台/票务解决方案。Chris Brame Trudesk 1.2.3之前版本存在信息泄露漏洞，该漏洞源于应用将敏感信息暴露给未授权的参与者。攻击者可利用该漏洞获取敏感信息。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-71648

3、Cybonet PineApp Mail Relay SQL注入漏洞

Cybonet PineApp Mail Secure是以色列Cybonet公司的在网络外围阻止大多数恶意电子邮件威胁，同时提供一系列附加选项以实现全面的安全和消息控制。Cybonet PineApp Mail Relay存在SQL注入漏洞，该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞进行远程代码执行。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-71112

4、Microweber信息泄露漏洞（CNVD-2022-71439）

Microweber是美国Microweber社区的一套可提供拖拽功能的网上商店管理系统。该系统包括添加商品、图片等模块。Microweber 1.3之前版本存在信息泄露漏洞，该漏洞源于当用户上传他的个人资料图片时，上传图片的EXIF地理位置数据不会被剥离。攻击者可利用该漏洞获取microweber用户的敏感信息，例如他们的地理位置、他们的设备信息，例如设备名称、版本、使用的软件和软件版本等。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-71439

5、Samsung Finder存在未明漏洞

Samsung Finder是韩国三星（Samsung）移动设备的一个功能。Samsung Finder存在安全漏洞，该漏洞源于当使用隐式意图调用时，并未对意图消息接收端进行限制，攻击者可利用该漏洞通过Finder的权限启动某些活动。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-70733

二、境内厂商产品漏洞

1、TOTOLINK T8存在缓冲区溢出漏洞（CNVD-2022-69723）

TOTOLINK T8是中国吉翁电子（TOTOLINK）公司的一款无线双频路由器。TOTOLINK T8存在缓冲区溢出漏洞，攻击者可利用该漏洞导致拒绝服务。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-69723

2、网御防火墙系统存在弱口令漏洞