一、境外厂商产品漏洞
1、GNU Emacs命令注入漏洞
GNU Emacs是美国GNU社区的一个文本编辑器家族。GNU Emacs 28.2版本及之前版本存在命令注入漏洞,该漏洞源于lib-src/etags.c在实现ctags程序时使用了系统C库函数。攻击者可利用漏洞执行任意命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85329
2、IBM Db2信息泄露漏洞(CNVD-2022-85416)
IBM DB2是美国国际商业机器(IBM)公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。IBM DB2 9.7、10.1、10.5、11.1和11.5版本存在信息泄露漏洞,该漏洞源于权限管理错误。攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85416
3、Amasty Blog Pro for Magento 2跨站脚本漏洞
Amasty Blog是Amasty公司的一个网站页面扩展。magento2是一款开源PHP电商系统。Amasty Blog Pro 2.10.5之前版本for Magento 2存在跨站脚本漏洞,该漏洞源于该插件中博客帖子创建功能未能对short_content和full_content字段进行有效过滤,攻击者可利用漏洞注入JavaScript代码,通过帖子(预览)或帖子(保存)对管理面板用户发起XSS攻击。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-84555
4、IBM Engineering Requirements Quality Assistant跨站脚本漏洞
IBM Engineering Requirements Quality Assistant是美国IBM公司的一款基于Watson AI用于辅助开发人员提高工程需求质量的软件。该应用可显著降低发现缺陷成本,有利于尽早发现工程流程中的需求错误,加快产品上市。IBM Engineering Requirements Quality Assistant所有版本存在跨站脚本漏洞,攻击者可以利用该漏洞注入恶意的web脚本。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85423
5、D-Link DIR-882 webGetVarString函数缓冲区溢出漏洞
D-Link DIR-882是中国友讯(D-Link)公司的一款无线路由器。D-Link DIR-882固件1.10B02和1.20B06版本存在缓冲区溢出漏洞,该漏洞源于其webGetVarString函数对输入数据缺乏长度验证,攻击者可利用漏洞导致拒绝服务或者远程代码执行。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85551
二、境内厂商产品漏洞
1、用友BIP数据应用服务存在逻辑缺陷漏洞
用友创立于1988年,是全球领先的企业云服务与软件提供商。用友BIP数据应用服务存在逻辑缺陷漏洞,攻击者可利用该漏洞获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-80754
2、ZTE MF286R缓冲区溢出漏洞
ZTE MF286R是中国中兴通讯(ZTE)公司的一款无线路由器。ZTE MF286R mf286r_b07版本之前存在缓冲区溢出漏洞,该漏洞源于缺乏对wifi接口参数的输入验证,攻击者可利用该漏洞进行拒绝服务攻击。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85560
3、WAVLINK WN531G3访问控制错误漏洞
WAVLINK WN531G3是中国睿因科技(WAVLINK)公司的一个无线路由器。WAVLINK WN531G3 M31G3.V5030.201204版本和M31G3.V5030.200325版本存在访问控制错误漏洞,攻击者可利用该漏洞下载配置数据和日志文件。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-86355
4、Infinova HD Network Mini Dome存在弱口令漏洞
英飞拓(Infinova),创立于1993年,公司以智慧安防为核心,是智慧城市、智慧家庭方案提供商和运营服务商,为全球提供智慧安防、智慧城市、智慧家庭、大数据和互联网运营服务。Infinova HD Network Mini Dome存在存在弱口令漏洞。攻击者可通过默认口令登录系统后台,获取敏感信息。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2021-80694
5、MingSoft MCMS SQL注入漏洞(CNVD-2022-85104)
MingSoft MCMS是中国铭飞(MingSoft)公司的一个完整开源的J2ee系统。Mingsoft MCMS存在SQL注入漏洞,该漏洞源于/cms/content/list的categoryId参数缺少对于SQL数据的过滤和转义,攻击者可利用该漏洞执行恶意的SQL命令。
参考链接:
https://www.cnvd.org.cn/flaw/show/CNVD-2022-85104
说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...