上周关注度较高的产品安全漏洞(20221219-20221225)

发布于 作者:

上周关注度较高的产品安全漏洞(20221219-20221225)

国家互联网应急中心CNCERT 2022-12-28 16:33

一、境外厂商产品漏洞

1、Siemens Teamcenter Visualization和JT2Go越界写入漏洞

Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款JT文件查看器。Siemens Teamcenter
Visualization和JT2Go存在越界写入漏洞,攻击者可利用此漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-88425

2、Siemens Teamcenter Visualization和JT2Go越界读取漏洞(CNVD-2022-88426)

Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Siemens JT2GO是一款JT文件查看器。Siemens Teamcenter
Visualization和JT2Go存在越界读取漏洞,攻击者可利用此漏洞在当前进程的上下文中执行代码。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-88426

3、Advantech iView SQL注入漏洞

Advantech iView是中国研华(Advantech)公司的一个基于简单网络协议(SNMP)来对B+B SmartWorx设备进行管理的软件。Advantech iView 5.7.04.6469版本存在SQL注入漏洞,该漏洞源于在其ConfigurationServlet端点中存在缺陷,攻击者可利用漏洞在setConfiguration操作中创建一个特殊的column_value参数,以绕过com.imc.iview.utils.CUtils.checkSQLInjection()中的检查来执行SQL语句,获取数据库数据。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-88792

4、Apache CXF输入验证错误漏洞

Apache CXF是美国阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache CXF存在输入验证错误漏洞,攻击者可利用该漏洞执行远程目录列表或代码渗漏。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89429

5、Cisco Enterprise NFV Infrastructure Software命令注入漏洞(CNVD-2022-89248)

Cisco Enterprise NFV Infrastructure
Software是美国思科(Cisco)公司的一套NVF基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。Cisco Enterprise NFV
Infrastructure Software存在命令注入漏洞,攻击者可利用该漏洞在镜像注册过程中向NFVIS主机注入在根级别执行的命令。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-89248

二、境内厂商产品漏洞

1、浙江大华技术股份有限公司icc智能物联综合管理平台存在信息泄露漏洞

浙江大华技术股份有限公司是全球领先的以视频为核心的智慧物联解决方案提供商和运营服务商。浙江大华技术股份有限公司icc智能物联综合管理平台存在信息泄露漏洞,攻击者可利用该漏洞获取敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-85067

2、四川天邑康和通信股份有限公司Wi-Fi6路由器存在XSS漏洞

四川天邑康和通信股份有限公司立足于光通信产业和移动通信产业,长期致力于通信设备相关产品的研发、生产、销售及服务,专业从事家庭/企业宽带接入和智能组网设备、移动信号深度覆盖、智慧视觉设备和光纤通信配线及连接设备等的研发、生产、销售和服务。四川天邑康和通信股份有限公司Wi-Fi6路由器存在XSS漏洞,攻击者可利用该漏洞获取用户cookie等敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-85072

3、北京久幺幺科技有限公司戏鲸app存在拒绝服务漏洞

戏鲸app是一款声音交友软件。北京久幺幺科技有限公司戏鲸app存在拒绝服务漏洞,攻击者可利用该漏洞导致程序闪退。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-85748

4、华天动力OA系统存在SQL注入漏洞

华天动力OA系统是由大连华天软件有限公司开发的协同办公软件。华天动力OA系统存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-85618

5、银河麒麟桌面操作系统存在命令注入漏洞

银河麒麟桌面操作系统是面向桌面应用的图形化桌面操作系统。银河麒麟桌面操作系统存在命令注入漏洞,攻击者可利用该漏洞从普通用户提升至特权用户。

参考链接:

https://www.cnvd.org.cn/flaw/show/CNVD-2022-78421

说明:关注度分析由CNVD根据互联网用户对CNVD漏洞信息查阅情况以及产品应用广泛情况综合评定。